Concurseiros Unidos Maior RATEIO da Internet

Aula 00
Tecnologia da Informação p/ ICMS/SP - 2016 (Gestão Tributária)

Professor: Victor Dalton

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00

AULA 00: PMBOK 5ª edição – 1ª parte
SUMÁRIO

PÁGINA

Motivação para o curso
Apresentação
Conteúdo Programático
1.Considerações Iniciais
1.1 O que é um projeto?
1.2 Gerenciamento de projetos
1.3 Projetos x Programas x Portfólios
1.4 Escritório de Projetos
1.5 Stakeholders (Partes Interessadas)
1.6 Valor de Negócio
1.7 Ciclo de vida de produto e ciclo de vida de projeto
1.7.1 Fases do Projeto
1.8 Ativos de processos organizacionais e fatores ambientais da empresa
1.8.1 Estruturas Organizacionais
1.9 Equipe de Projeto
2. Processos de Gerenciamento de Projetos
Exercícios Comentados
Considerações Finais
Exercícios
Gabarito

1
2
3
5
5
6
8
10
13
13
14
18
18
19
22
24
25
56
57
73

Olá a todos! E sejam bem-vindos ao projeto Tecnologia da Informação
para a Secretaria de Fazenda do Estado de São Paulo!

A nossa proposta de trabalho é apresentar um curso teórico em PDF,
que habilitará você a acertar questões de Tecnologia da Informação para
este certame, baseado no edital de 2013 da FCC, banca examinadora do último
certame. No último concurso, foram ofertadas 782 vagas para este cargo. É um
número excelente de vagas, para um cargo de excelente remuneração! Portanto,
largar na frente na preparação pode fazer toda a diferença.
Prof. Victor Dalton

www.estrategiaconcursos.com.br

1 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00
Lembro que este curso é para o Agente Fiscal de Rendas de Gestão
Tributária. Existe outro curso de Tecnologia da Informação para Agente de TI.

“Tudo o que um sonho precisa para ser realizado é alguém que acredite
que ele possa ser realizado.”
Roberto Shinyashiki

Vem comigo?

Observação importante: este curso é protegido por direitos
autorais (copyright), nos termos da Lei 9.610/98, que altera,
atualiza e consolida a legislação sobre direitos autorais e dá
outras providências.
Grupos de rateio e pirataria são clandestinos, violam a lei e
prejudicam os professores que elaboram os cursos. Valorize o
trabalho de nossa equipe adquirindo os cursos honestamente
através do site Estratégia Concursos ;-)

Observação importante II: todo o conteúdo deste curso
encontra-se completo em nossos textos escritos. As
videoaulas visam reforçar o aprendizado, especialmente para
aqueles que possuem maior facilidade de aprendizado com
vídeos e/ou querem ter mais uma opção para o aprendizado.

Permitam-me que eu me apresente.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

2 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00
APRESENTAÇÃO
Eu sou Victor Dalton Teles Jesus Barbosa. Minha experiência em concursos
começou aos 15 anos, quando consegui ingressar na Escola Preparatória de
Cadetes do Exército, em 1999. Cursei a Academia Militar das Agulhas Negras,
me tornando Bacharel em Ciências Militares, 1º Colocado em Comunicações, da
turma de 2003.
Em 2005, prestei novamente concurso para o Instituto Militar de
Engenharia, aprovando em 3º lugar. No final de 2009, me formei em Engenharia
da Computação, sendo o 2º lugar da turma no Curso de Graduação. Decidi então
mudar de ares.
Em 2010, prestei concursos para Analista do Banco Central (Área 1 –
Tecnologia da Informação) e Analista de Planejamento e Orçamento
(Especialização em TI), cujas bancas foram a CESGRANRIO e a ESAF,
respectivamente. Fui aprovado em ambos os concursos e, após uma passagem
pelo Ministério do Planejamento, optei pelo Banco Central do Brasil.
Em 2012, por sua vez, prestei concurso para o cargo de Analista Legislativo
da Câmara dos Deputados, aplicado pela banca CESPE, e, desde o início de
2013, faço parte do Legislativo Federal brasileiro.
Além disso, possuo as certificações ITIL Foundation, emitida pela EXIN,
e Cobit Foundation, emitida pela ISACA. Também sou especialista em
Planejamento e Orçamento Governamental e em Direito Constitucional.
Aqui no Estratégia Concursos, já ministrei e ministro cursos para vários
certames, como CGU, Receita Federal, ICMS/PR, ICMS/SP, ISS/SP, ICMS/RJ,
ICMS/MS, ICMS/RS, ICMS/PE, ICMS/PI, ISS/Salvador, Banco Central, MPU,
IBAMA, ANS, Ministério da Saúde, Polícia Federal, MPOG, PCDF, PRF, TCU, AFT,
ANCINE, TCDF, ANATEL, DATAPREV, Câmara dos Deputados, Caixa Econômica
Federal, cursos para Tribunais, dentre outros. Além disso, também ministro
aulas presenciais em diversos Estados, cujo feedback dos alunos tem me
impulsionado a continuar cada vez mais a ministrar aulas.

Pois bem, e como será o nosso curso?

Prof. Victor Dalton

www.estrategiaconcursos.com.br

3 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00
CONTEÚDO PROGRAMÁTICO

Nosso curso, baseado no edital de 2013, trará as aulas na seguinte
sequência:
Aula 00 Gerência de Projetos: PMBOK 5ª Edição (1ª Parte).
Aula 01 Gerência de Projetos: PMBOK 5ª edição (2ª parte).
Aula 02 Segurança da Informação: Conceitos básicos. Firewall. Backup.
Ameaças.
Aula 03 Segurança da Informação: Normas ISO 27001 e 27002.
Aula 04 Banco de Dados: Conceitos básicos. SGBD. Cardinalidade.
Modelagem E-R. Modelagem Relacional.
Aula 05 Business Intelligence (BI): Conceitos de Datawarehouse.
Conceitos de Data Mining.
Aula 06 Programação de Software.
Aula 07 Redes: Acesso remoto e rede Wireless. Noções de mobilidade.
Aula 08 BPM. Gestão de Processos de Negócio: Modelagem de processos.
Governança de TI: Planejamento estratégico de TI (PETI). Alinhamento
estratégico entre Área de TI e Negócios. Políticas e procedimentos. Análise
SWOT. BSC – Balanced Scorecard. Gerenciamento Eletrônico de Documentos.
Aula 09 Portais corporativos e
Gerenciamento Eletrônico de Documentos.

colaborativos.

Web

Services.

Pois bem, sem mais delongas, comecemos com o PMBOK 5ª edição, guia
referência em gerenciamento de projetos.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

4 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00
PMBOK

1. CONSIDERAÇÕES INICIAIS
Este capítulo de considerações iniciais é importantíssimo, e peço a
sua total atenção.

1.1

O QUE É UM PROJETO?

O primeiro conceito que o PMBOK ensina é o de projeto, e como diferenciálo de uma operação.
Projeto é um esforço temporário empreendido para criar um produto,
serviço ou resultado exclusivo. Possuem natureza temporária e têm datas de
início e fim definidas, e estarão concluídos quando as respectivas metas e
objetivos forem cumpridos. Servem para lançar um produto novo ou serviço que
não existia anteriormente. Mas, também, podem simplesmente produzir
resultados, como os resultados de uma pesquisa, ou até mesmo um estudo de
viabilidade.
As operações, por sua vez, são contínuas e repetitivas e mantêm a
organização funcionando. Fazem parte do cotidiano da organização.
Projetos
Produto, serviço ou resultado exclusivo
Datas de início e fim definidas.

Operações
Contínuas, repetitivas, e mantêm a
organização funcionando

Destaco, ainda, que projetos podem resultar em novas operações. Por
exemplo, um projeto de lançamento de um veículo novo por uma montadora
resulta em uma nova linha de produção de veículos, cuja produção passa a ser
uma operação da montadora.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

5 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00

1) (FCC – TRT 3ª Região – Analista Judiciário – Informática – 2014) É um
esforço temporário empreendido para criar um produto, serviço ou resultado
exclusivo. A sua natureza temporária indica um início e um término definidos. O
término é alcançado quando os objetivos tiverem sido atingidos ou quando se
concluir que esses objetivos não serão ou não poderão ser atingidos e o projeto
for encerrado, ou quando o mesmo não for mais necessário.
De acordo com o PMBOK, o texto acima é definição de
(A) estimativa.
(B) serviço.
(C) planejamento.
(D) projeto.
(E) processo.
Conhecer bem a definição de projeto é fundamental, pois sempre pode cair em
prova.
Resposta: alternativa d).

1.2

GERENCIAMENTO DE PROJETOS

Gerenciamento de Projetos, por sua vez, trata da “aplicação de
conhecimento, habilidades, ferramentas e técnicas às atividades do projeto a fim
de atender aos seus requisitos. O gerenciamento de projetos é realizado através
da aplicação e integração apropriadas dos 47 processos agrupados logicamente
abrangendo os 5 grupos.” Esses 47 processos e seus 5 grupos serão vistos
adiante.
Nesse contexto, destaca-se a figura do gerente de projetos. Além das
habilidades específicas a qualquer área e das proficiências de gerenciamento
geral exigidas pelo projeto, o gerenciamento de projetos eficaz exige que o
gerente de projetos possua as seguintes competências:
 Conhecimento. Refere-se ao que o gerente de projetos sabe sobre
gerenciamento de projetos.
 Desempenho. Refere-se ao que o gerente de projetos é capaz de fazer
ou realizar quando aplica seu conhecimento em gerenciamento de
projetos.
Prof. Victor Dalton

www.estrategiaconcursos.com.br

6 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00
 Pessoal. Refere-se ao comportamento do gerente de projetos na
execução do projeto ou atividade relacionada. A efetividade pessoal
abrange atitudes, principais características de personalidade, e
liderança, que fornecem a habilidade de guiar a equipe do projeto ao
mesmo tempo em que atinge objetivos e equilibra as restrições do
mesmo.
Ainda, os gerentes de projetos eficazes devem possuir uma combinação
equilibrada de habilidades éticas, interpessoais e conceituais para ajudá-los a
analisar situações e interagir de maneira apropriada. Dentre estas, podemos
destacar:










Liderança,
Construção de equipes,
Motivação,
Comunicação,
Influência,
Tomada de decisões,
Consciência política e cultural,
Negociação,
Ganho de confiança
Gerenciamento de conflitos, e
Coaching.

1.3

PROJETOS X PROGRAMAS X PORTFÓLIOS

Em organizações mais maduras, o gerenciamento de projetos ocorre em
um contexto mais amplo, sob a alçada do gerenciamento de programas e
gerenciamento de portfólios. Vejamos:

Gerenciamento de programas: Um programa pode ser definido como um
grupo de projetos relacionados de modo coordenado, para a obtenção de
benefícios e controle que não estariam disponíveis se eles fossem gerenciados
individualmente. Os programas podem incluir projetos e tarefas extra-projeto, e
seu foco é o relacionamento nas interdependências dos projetos.
O gerenciamento de programas é definido como o gerenciamento
centralizado e coordenado de um programa para atingir os objetivos e benefícios
estratégicos do mesmo. Os projetos dentro de um programa são relacionados
Prof. Victor Dalton

www.estrategiaconcursos.com.br

7 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00
através do resultado comum ou da capacidade coletiva. Se a relação entre
projetos for somente a de um cliente, vendedor, tecnologia ou recurso
compartilhado, o esforço deve ser gerenciado como um portfólio de projetos e
não como um programa.

Gerenciamento de portfólio: Um portfólio, por sua vez, refere-se a um
conjunto de projetos e/ou programas e outros trabalhos, agrupados para facilitar
o gerenciamento eficaz desse trabalho a fim de atingir os objetivos de negócios
estratégicos. O gerenciamento de portfólios se concentra em garantir que os
projetos e programas sejam analisados a fim de priorizar a alocação de recursos,
e que o portfólio seja consistente e alinhado às estratégias organizacionais.

Dica do professor: gosto de pensar no exemplo de uma grande
empresa de eletrônicos. Em seu Portfólio, existem produtos
como refrigeradores, televisores, smartphones e outros, cada
qual com seu programa. Gerenciar esse portfólio envolveria
escolher em qual gama de produtos continuar a investir,
escolher produtos novos, descontinuá-los, etc.
Cada gama de produtos similares deve estar na alçada de um
Programa. Para os smartphones, por exemplo, cada novo
aparelho deve ser um projeto. Mas, esses projetos, uma vez
na alçada de um programa, podem obter benefícios comuns,
desfrutando de uma mesma equipe de testadores
independente, especialistas em baterias e antenas podem ser
compartilhados entre todos esses projetos, etc.
Facilitou o seu entendimento?

Prof. Victor Dalton

www.estrategiaconcursos.com.br

8 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00

Portfólios, Programas e Projetos.

Do mais específico ao mais abrangente

Vejamos agora um comparativo, ressaltando algumas características do
gerenciamento de projeto, programa e portfólio:

Escopo

Mudanças

PROJETOS

PROGRAMAS

PORTFÓLIOS

Objetivos
definidos.
Escopo é elaborado
progressivamente
durante o ciclo de vida
Mudanças
são
e
o
esperadas,

Escopo mais amplo,
para
providenciar
benefícios
mais
significativos
Podem vir de dentro
de
fora
dos
ou

Escopo de negócio,
que muda de acordo
com os objetivos da
organização
Ajustado de acordo
o
ambiente
com

Prof. Victor Dalton

www.estrategiaconcursos.com.br

9 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00

Planejamento

Gerenciamento
Sucesso

Monitoramento

gerente
implementa
processos
para
sempre monitorar e
controlar as mudanças
Do nível mais alto
para o detalhe

Gerenciar a equipe
para
alcançar
os
objetivos do projeto
Medido pela qualidade
do
produto
e
do
projeto,
orçamento
gasto e satisfação do
cliente
Na alçada do projeto

programas

(demandas
mercado, etc)

de

Planos de alto nível,
que
guiam
o
planejamento
mais
detalhado
Gerenciar o staff e os
gerentes de projeto

Processos
de
comunicação relativos
ao portfólio

Medido pela satisfação
das necessidades e
benefícios esperados
na
alçada
do
programa
Componentes
do
programa

Medido
pelo
valor
agregado ao negócio

Gerenciar o staff do
portfólio

Valor
agregado
indicadores
performance

e
de

1.4 ESCRITÓRIO DE PROJETOS

Podemos destacar, ainda, na organização, a figura do Escritório de
Projetos (Project Management Office, PMO).
O Escritório de Projetos é uma entidade organizacional, que recebe
responsabilidades relacionadas ao gerenciamento de projetos sob o seu domínio.
Pode ser considerado um “centro de expertise” em projetos, dando suporte aos
gerentes de projetos.

Há vários tipos de estruturas de PMO nas organizações e elas variam em
função do seu grau de controle e influência nos projetos da organização, tais
como:
• De suporte. Os PMOs de suporte desempenham um papel consultivo nos
projetos, fornecendo modelos, melhores práticas, treinamento, acesso a
informações e lições aprendidas com outros projetos. Este tipo de PMO atua
como um repositório de projetos. O nível de controle exercido pelo PMO é baixo.
• De controle. Os PMOs de controle fornecem suporte e exigem a
conformidade através de vários meios. A conformidade pode envolver a adoção
de estruturas ou metodologias de gerenciamento de projetos usando modelos,

Prof. Victor Dalton

www.estrategiaconcursos.com.br

10 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00
formulários e ferramentas específicas, ou conformidade com a governança. O
nível de controle exercido pelo PMO é médio.
• Diretivo. Os PMOs diretivos assumem o controle dos projetos através do
seu gerenciamento direto. O nível de controle exercido pelo PMO é alto. O PMO
reúne os dados e informações de projetos estratégicos corporativos e avalia
como os objetivos estratégicos de nível mais alto estão sendo alcançados. O
PMO é a ligação natural entre os portfólios, programas e projetos da organização
e os sistemas de medição corporativos (p.ex., Balanced Scorecard).
Um PMO pode ser investido de autoridade para atuar como parte
interessada integral e um importante deliberante durante o início de cada
projeto, fazer recomendações ou encerrar projetos, ou ainda tomar outras
medidas conforme a necessidade. Além disso, o PMO pode estar envolvido na
seleção, no gerenciamento e na mobilização de recursos de projetos
compartilhados ou dedicados. O PMO pode, ainda:





Gerenciar recursos compartilhados entre todos os projetos da alçada
do PMO;
Identificar e desenvolver metodologias e melhores práticas;
Orientar, aconselhar, treinar, supervisionar;
Monitorar conformidade com políticas e procedimentos da empresa;
Desenvolver e gerenciar políticas e procedimentos;
Coordenar comunicações entre projetos.

Desta forma, veremos que Gerentes de Projetos e Escritórios de Projetos
possuirão objetivos distintos, a saber:

Gerente de Projeto
Objetivos do seu Projeto

Escritório de Projetos
Gerencia mudanças no escopo do programa que
possam ser vistas como oportunidade para melhor
alcançar os objetivos de negócios

Controlar recursos do seu projeto para Otimizar o uso dos recursos organizacionais para
atingir os objetivos do projeto
compartilhar entre todos os projetos
Restrições de seu projeto

Gerencia metodologias, padrões, risco/oportunidade
global e as interdependências entre projetos no nível
da empresa

Prof. Victor Dalton

www.estrategiaconcursos.com.br

11 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00

2) (FCC – TCM/GO – Auditor de Controle Externo – Informática – 2015)
Com relação às atribuições de um Gerente de Projetos e de um escritório de
projetos, considere:
I. O Gerente de Projetos concentra-se nos objetivos especificados do projeto,
enquanto o escritório de projetos gerencia as principais mudanças do escopo do
programa que podem ser vistas como possíveis oportunidades para melhor
alcançar os objetivos de negócios.
II. O Gerente de Projetos tem como função principal dar suporte ao escritório de
projetos por meio do gerenciamento de recursos compartilhados entre todos os
projetos, enquanto o escritório de projetos atua no treinamento e supervisão da
equipe do projeto, incluindo o gerente.
III. O Gerente de Projetos controla os recursos atribuídos ao projeto para
atender da melhor forma possível aos objetivos do projeto, enquanto o escritório
de projetos otimiza o uso dos recursos organizacionais compartilhados entre
todos os projetos.
IV. O Gerente de Projetos gerencia as restrições (escopo, cronograma, custo,
qualidade etc.) dos projetos individuais, enquanto o escritório de projetos
gerencia as metodologias, padrões, o risco/oportunidade global e as
interdependências entre os projetos no nível da empresa.
Segundo o Guia PMBoK, as diferenças entre o papel do gerente de projetos e de
um escritório de projetos incluem o que consta APENAS em
(A) II e IV.
(B) I e III.
(C) I, III e IV.
(D) II e III.
(E) III e IV.

A questão transcreve o comparativo que envolve o Gerente de Projetos e o
Escritório de Projetos, à exceção do item II, que é absurdo.
Resposta: alternativa c).

Prof. Victor Dalton

www.estrategiaconcursos.com.br

12 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00
1.5 STAKEHOLDERS (PARTES INTERESSADAS)

As partes interessadas (stakeholders) são pessoas ou organizações (por
exemplo, clientes, patrocinadores, organização executora ou o público)
ativamente envolvidas no projeto ou cujos interesses podem ser positiva ou
negativamente afetados pela execução ou término do projeto. Elas também
podem exercer influência sobre o projeto, suas entregas e sobre os membros da
equipe do projeto. A equipe de gerenciamento do projeto precisa identificar as
partes interessadas, tanto internas quanto externas, a fim de determinar os
requisitos e as expectativas em relação ao projeto de todas as partes
envolvidas. Além disso, o gerente do projeto precisa gerenciar a influência das
várias partes interessadas em relação aos requisitos do projeto para garantir um
resultado bem-sucedido.
Os principais stakeholders podem ser:
 Clientes/usuários;
 Patrocinador do projeto;
 Gerentes de portfólios de projetos;
 Gerentes de programas;
 Escritório de projetos;
 Gerentes de projetos;
 Equipe do projeto;
 Gerentes funcionais relacionados ao projeto;
 Gerenciamento de operações (quando impactado pelo projeto);
 Fornecedores/parceiros comerciais;
 Outros (não é uma lista exaustiva);
 Atenção: Segundo o posicionamento oficial do PMBOK, os concorrentes
não são considerados stakeholders de um projeto.

1.6 VALOR DE NEGÓCIO

Valor de negócio é um conceito único para cada organização. O valor de
negócio é definido como o valor inteiro do negócio, a soma total de todos os
elementos tangíveis e intangíveis. Exemplos de elementos tangíveis incluem
ativos monetários, patrimônio dos acionistas e instalações utilitárias. Exemplos
de elementos intangíveis incluem reputação, reconhecimento de marca,
benefício público e marcas registradas.
A realização bem sucedida do valor de negócio começa com o planejamento
estratégico e gerenciamento abrangentes. A estratégia organizacional pode ser
expressa através da missão e visão da organização, incluindo a orientação para
os mercados, a competição e outros fatores ambientais. A estratégia
Prof. Victor Dalton

www.estrategiaconcursos.com.br

13 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00
organizacional eficaz oferece instruções definidas de desenvolvimento e
crescimento, além de métricas de desempenho para o sucesso. O uso de
técnicas de gerenciamento de portfólios, programas e projetos é essencial para
preencher a lacuna entre a estratégia organizacional e a realização bem
sucedida do valor do negócio.

1.7 CICLO DE VIDA DE PRODUTO E CICLO DE VIDA DE PROJETO

O ciclo de vida do projeto diz respeito às suas fases, que geralmente são
sequenciais e que às vezes se sobrepõem, cujo nome e número são
determinados pelas necessidades de gerenciamento e controle da(s)
organização(ões) envolvidas, a natureza do projeto em si e sua área de
aplicação. Um ciclo de vida de projeto pode ser documentado com uma
metodologia, oferecendo uma estrutura básica para o gerenciamento do projeto,
independentemente do trabalho desenvolvido.
Via de regra, os projetos podem ser mapeados por um ciclo, contendo:



Início do Projeto
Organização e Preparação
Execução do trabalho do projeto
Encerramento do projeto

Ciclo de vida do projeto: ilustração

Tal ciclo não deve ser confundido com os grupos de processos, que serão
vistos adiante.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

14 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00
A estrutura genérica do ciclo de vida do projeto, geralmente, apresenta as
seguintes características:
• Os níveis de custo e de pessoal são baixos no início, atingem um
valor máximo enquanto o projeto é executado e caem rapidamente conforme o
projeto é finalizado.
• A curva típica de custo e pessoal acima pode não se aplicar a todos os
projetos. Um projeto pode exigir despesas substanciais para assegurar os
recursos necessários no início do seu ciclo de vida, por exemplo, ou dispor de
uma equipe completa bem no início do seu ciclo de vida.
• A influência das partes interessadas, os riscos e as incertezas são
maiores durante o início do projeto. Estes fatores caem ao longo da vida do
mesmo.
• A capacidade de influenciar as características finais do produto do projeto,
sem impacto significativo sobre os custos, é mais alta no início e torna-se
cada vez menor conforme o projeto progride para o seu término. Os custos das
mudanças e correções de erros geralmente aumentam significativamente
conforme o projeto se aproxima do término.

O ciclo de vida do produto, por sua vez, consiste em fases do produto,
geralmente sequenciais e não sobrepostas, determinadas pela necessidade de
produção e controle da organização. A última fase do ciclo de vida de um
produto é a chamada deterioração, ou morte, ou retirada de circulação do
produto.
Entretanto, cabe destacar que nem todo projeto, necessariamente, resulta
na produção de um produto. Pode-se ter:



Projeto
Projeto
Projeto
Projeto

desenvolvendo um novo produto;
para dar um “upgrade” em um produto já existente;
para realizar o estudo de viabilidade de um produto;
para realizar um campanha publicitária para um produto, etc.

Por isso, é razoável que o ciclo de vida de um projeto esteja contido em um
(ou mais) ciclos de vida de um produto.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

15 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00
3) (FCC – TRT 2ª Região – Técnico Judiciário – Tecnologia da
Informação – 2014) De acordo com o guia PMBoK, a estrutura genérica do
ciclo de vida de projeto apresenta algumas características, dentre as quais estão
as apresentadas no gráfico abaixo.

Considerando o ciclo de vida do projeto e as informações do gráfico, é
INCORRETO afirmar:
(A) Os níveis de custo e de pessoal são baixos no início, atingem um valor
máximo enquanto o projeto é executado e caem rapidamente conforme o
projeto é finalizado.
(B) As curvas representadas pelos custos de mudanças e influência dos
stakeholders, riscos e incertezas são diretamente proporcionais devido às
dificuldades da etapa de elicitação de requisitos, que permeia todo o ciclo de
vida do projeto.
(C) A influência dos stakeholders, os riscos e as incertezas são maiores durante
o início do projeto. Estes fatores caem ao longo da vida do projeto.
(D) A capacidade de influenciar as características finais do produto do projeto,
sem impacto significativo sobre os custos, é mais alta no início e torna-se cada
vez menor conforme o projeto progride para o seu término.
(E) Os custos das mudanças e correções de erros geralmente aumentam
significativamente conforme o projeto se aproxima do término.

As alternativas são transcrições das características enumeradas pelo PMBOK. O
absurdo é a alternativa b), que cita que as curvas são diretamente
proporcionais. Não precisa sequer ler o conteúdo da sentença para saber que as
curvas são inversamente proporcionais. A frase, como um todo, é fictícia.
Resposta: alternativa b).

Prof. Victor Dalton

www.estrategiaconcursos.com.br

16 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00
O guia ainda nos traz outras três abordagens para o ciclo de vida do
projeto, a saber:

Ciclos de vida pré-determinados
Os ciclos de vida previstos (também conhecidos como ciclos de vida
inteiramente planejados) são aqueles em que o escopo do projeto, bem como
o tempo e custos exigidos para entregar tal escopo são determinados o
mais cedo possível no ciclo de vida do projeto. Esses projetos progridem
através de uma série de fases sequenciais ou sobrepostas, em que cada fase
geralmente foca um subconjunto de atividades de projeto e processos de
gerenciamento de projeto. O trabalho executado em cada fase é geralmente de
caráter diferente do trabalho das fases anteriores e subsequentes e, assim
sendo, a formação e habilidades exigidas da equipe do projeto podem variar de
fase para fase.

Ciclos de vida iterativos e incrementais
Ciclos de vida iterativos e incrementais são aqueles em que as fases do
projeto (também chamadas de iterações) intencionalmente repetem uma ou
mais atividades de projeto à medida que a compreensão do produto pela
equipe do projeto aumenta. Iterações desenvolvem o produto através de uma
série de ciclos repetidos, enquanto os incrementos sucessivamente acrescentam
à funcionalidade do produto. Os ciclos de vida desenvolvem o produto de forma
tanto iterativa como incremental.

Ciclos de vida adaptativos
Os ciclos de vida adaptativos (também conhecidos como direcionados à
mudança ou utilizadores de métodos ágeis) são projetados para reagir a altos
níveis de mudança e envolvimento contínuo das partes interessadas. Os
métodos adaptativos são também iterativos e incrementais, a diferença é que as
iterações são muito rápidas (geralmente com uma duração de 2 a 4
semanas), com tempo e recursos fixos. Os projetos adaptativos geralmente
executam vários processos em cada iteração, embora as primeiras iterações
possam se concentrar mais nas atividades de planejamento.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

17 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00
1.7.1 Fases do Projeto

O PMBOK afirma que a estrutura de fases de um projeto facilita o
gerenciamento, planejamento e o controle.
Geralmente, as fases de um projeto são sequenciais, mas benefícios podem
ser obtidos quando se seguem outros padrões.
Os tipos básicos são:
Sequenciais – modelo tradicional, no qual uma fase começa quando outra
termina.
Sobrepostas – uma fase pode começar antes do encerramento de outra,
com o objetivo de diminuir o cronograma. Podem aumentar o risco e resultar em
retrabalho, caso a fase anterior não forneça informações suficientes em tempo
hábil.

1.8 ATIVOS DE PROCESSOS
AMBIENTAIS DA EMPRESA

ORGANIZACIONAIS

E

FATORES

Ativos de processos organizacionais são todos os ativos relacionados a
processos de qualquer ou de todas as organizações envolvidas no projeto, e que
podem influenciar em seu sucesso. O PMBOK agrupa esses ativos de processos
em duas categorias:

Processos e procedimentos: normas, políticas, ciclos de vida
padrão de produtos e projetos, diretrizes padronizadas, instruções de
trabalho,
procedimentos
de
comunicação
da
organização,
procedimento de gerenciamento de questões e defeitos, etc. Em
resumo: tudo relacionado a “como a empresa faz as coisas”.

Base de conhecimento corporativa: bancos de dados de medição
de processos, arquivos de projetos anteriores, base de conhecimento
de informações históricas, lições aprendidas, enfim, tudo que a
“empresa aprendeu com o tempo”.

Os fatores ambientais da empresa, por sua vez, são tanto os fatores
ambientais internos quanto externos que cercam ou influenciam o sucesso de
um projeto. Podem estar relacionados à:

Cultura;

Prof. Victor Dalton

www.estrategiaconcursos.com.br

18 de 73

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016






Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 00
Normas governamentais;
Infraestrutura;
Recursos humanos existentes;
Condições do mercado;
Estrutura organizacional;
Tolerância a risco dos stakeholders;
Clima político, etc.

Um fator ambiental da empresa receberá nossa atenção especial, as
estruturas organizacionais.

1.8.1 Estruturas Organizacionais

A estrutura organizacional da empresa é um fator ambiental que pode
afetar a disponibilidade dos recursos e influenciar a maneira como os projetos
são conduzidos.
Esta classificação tem por objetivos mostrar o quanto a organização é
orientada a projetos (ou não), e como sua estrutura pode influenciar a realização
e consecução de projetos. A saber:

Esta tabela sintetiza bem a relação entre as características de um projeto e
a estrutura de uma organização, desde a organização funcional, passando pela
organização matricial e organização por projeto. Uma avaliação em cima
desse assunto dificilmente fugirá do conteúdo dessa tabela. Vamos falar um
pouco sobre elas.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

19 de 73

WWW.CONCURSEIROSUNIDOS.ORG

auditoria.estrategiaconcursos. possui uma certa orientação a projetos. porém já existe o reconhecimento da necessidade de se manter uma área de projetos. por sua vez. é a organização clássica. Os projetos são atividades bem pontuais nesse tipo de organização.com. contabilidade) e suas atividades pouco se relacionam. Organização matricial balanceada:ilustração A organização matricial. Prof. Victor Dalton www. conforme mostrado acima.ORG .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 Organização funcional:ilustração A organização funcional. cuja intensidade varia conforme a primeira tabela mostrada na página anterior.CONCURSEIROSUNIDOS.br 20 de 73 WWW. que está em vigor nos nossos órgãos públicos. A estrutura da empresa ainda é similar à organização funcional. Os departamentos são bem definidos (RH.

ORG . Victor Dalton www. Organização projetizada: ilustração Em uma organização por projeto (eu ainda gostaria de entrar em uma empresa montada dessa forma. com seus gerentes de projetos possuindo grande independência e autoridade.br 21 de 73 WWW. ela não fornece a ele autoridade total sobre o projeto e sobre seu financiamento. As matrizes fortes possuem muitas das características da organização projetizada e podem ter gerentes de projetos em tempo integral com autoridade considerável e pessoal administrativo trabalhando para o projeto em tempo integral. Enquanto a organização matricial balanceada reconhece a necessidade de um gerente de projetos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 As matrizes fracas mantêm muitas das características de uma organização funcional e o papel do gerente de projetos é mais parecido com a de um coordenador ou facilitador do que com o de um gerente de projetos propriamente dito. e a maior parte dos recursos da organização está envolvida no trabalho dos projetos.com. rs). os membros da equipe de um projeto trabalham juntos. Prof.CONCURSEIROSUNIDOS.estrategiaconcursos.

Essa equipe pode ter muitas das características de uma equipe de projeto de uma organização projetizada. pode desenvolver seu próprio conjunto de procedimentos operacionais e mesmo operar fora da estrutura hierárquica formal padrão durante o projeto. mas permitir que pequenos projetos sejam gerenciados por departamentos funcionais. A equipe do projeto inclui o gerente do projeto. Além disso.br 22 de 73 WWW. Os membros da equipe que executam as atividades de gerenciamento do projeto. na qual uma organização envolve todas as estruturas anteriores em vários níveis. Por exemplo. mas que não estão necessariamente envolvidos no gerenciamento do projeto.com. tais como de elaboração Prof.ORG .9 Equipe de Projeto A equipe do projeto inclui o gerente do projeto e o grupo de indivíduos que atua conjuntamente na execução do trabalho do projeto para alcançar os seus objetivos. Victor Dalton www. As equipes de projeto podem incluir papéis como: • Pessoal de gerenciamento do projeto.CONCURSEIROSUNIDOS. A equipe pode incluir pessoal de diferentes departamentos funcionais em tempo integral. uma organização pode gerenciar a maior parte dos seus projetos em uma estrutura matricial forte.estrategiaconcursos. mesmo uma organização fundamentalmente funcional pode criar uma equipe de projeto especial para cuidar de um projeto crítico. o pessoal de gerenciamento do projeto e outros membros da equipe que executam o trabalho. 1.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 Organização composta: ilustração Por fim. o guia cita uma organização composta.

engenharia. • Vendedores. Prof. testes. mas têm uma relação especial com a empresa.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 do cronograma. • Especialistas de suporte.CONCURSEIROSUNIDOS. Membros de organizações de parceiros de negócios podem ser designados como membros da equipe do projeto para garantir sua coordenação adequada. orientar sobre os requisitos ou validar a aceitabilidade dos resultados do projeto. jurídicas. como instalação. personalização.ORG . comunicações. Os parceiros de negócios fornecem consultoria especializada ou desempenham um papel específico. orçamento. ou controle da qualidade. Este papel pode ser desempenhado ou apoiado por um escritório de gerenciamento de projetos (PMO). • Parceiros de negócios. são empresas externas que assinam um contrato para fornecimento de componentes ou serviços necessários ao projeto. logística.estrategiaconcursos. Os especialistas de suporte executam as atividades exigidas para o desenvolvimento ou execução do plano de gerenciamento do projeto. • Recursos humanos do projeto. emissão de relatórios e atividades de controle. Os membros da organização que aceitarem as entregas ou produtos do projeto podem ser designados para atuar como representantes ou pessoas de contato para garantir a coordenação apropriada. Elas podem incluir atividades como contratações. gerenciamento dos riscos e suporte administrativo. Parceiros de negócios são também empresas externas. às vezes obtida através de um processo de certificação. Os membros da equipe que executam o trabalho de criação das entregas do projeto.com. de segurança. • Membros parceiros de negócios. ou contratadas. Vendedores. Victor Dalton www. gerenciamento financeiro.br 23 de 73 WWW. fornecedores. • Representantes de usuários ou de clientes. treinamento ou suporte.

Quando o termo de abertura do projeto é aprovado. Esses processos. consiste nos processos realizados para executar o trabalho definido no plano de gerenciamento do projeto de forma a cumprir as especificações do projeto. naturalmente.CONCURSEIROSUNIDOS.estrategiaconcursos. definir e refinar os objetivos e desenvolver o curso de ação necessário para alcançar esses objetivos.br 24 de 73 WWW. PROCESSOS DE GERENCIAMENTO DE PROJETOS Gerenciar projetos é aplicar conhecimentos. serão influenciados pelos ativos de processos organizacionais e os fatores ambientais da empresa.1 GRUPOS DE PROCESSOS O PMBOK organiza os seus processos em grupos de processos. nem todos os 47 processos poderão ser empregados. As partes interessadas internas e externas que vão interagir e influenciar o resultado geral do projeto são identificadas. O Grupo de Processos de Monitoramento e Controle consiste nos processos necessários para acompanhar. o projeto se torna oficialmente autorizado. Estas informações são capturadas no termo de abertura do projeto e no registro das partes interessadas. tempo. por sua vez. Além disso. Nos processos de iniciação. o gerente de projetos será selecionado. obtendo autorização para tal. O Grupo de Processos de Execução. 2. o escopo inicial é definido e os recursos financeiros iniciais são comprometidos. Se ainda não foi designado. de modo que ele cumpra os seus requisitos. revisar e regular o progresso e o Prof. Este grupo de processos envolve coordenar pessoas e recursos e também integrar e executar as atividades do projeto em conformidade com o plano de gerenciamento do mesmo. Victor Dalton www.com. custos e qualidade esperados. habilidades. a saber: O Grupo de Processos de Iniciação consiste nos processos realizados para definir um novo projeto ou uma nova fase de um projeto existente.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 2. ferramentas e técnicas à atividade de projeto. dentro do escopo. Os processos de planejamento desenvolvem o plano de gerenciamento e os documentos do projeto que serão usados para executá-lo. Já o Grupo de Processos de Planejamento consiste nos processos realizados para estabelecer o escopo total do esforço. O PMBOK 5ª edição organiza esse arcabouço de conhecimentos em 47 processos. dependendo do porte do projeto.ORG .

ORG . da forma apropriada e definir formalmente que o projeto ou a fase do projeto estão concluídos. Dica do professor: jamais se esqueça dessa classificação! Perguntas triviais sobre gestão de projetos sempre passam pelos grupos de processos.CONCURSEIROSUNIDOS.estrategiaconcursos. Mais uma vez. Victor Dalton www. ou obrigações contratuais. de todos os grupos de processos de gerenciamento do projeto.com. visando completar formalmente o projeto ou a fase. Por fim. Este grupo de processos. identificar todas as áreas nas quais serão necessárias mudanças no plano e iniciar as mudanças correspondentes. o Grupo de Processos de Encerramento consiste nos processos executados para finalizar todas as atividades. revisar e regular o progresso e o desempenho do projeto.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 desempenho do projeto.br 25 de 73 WWW. os processos de gerenciamento de projetos são agrupados em diversos grupos de processos. Um destes grupos contém os processos necessários para acompanhar. para não esquecer! Iniciação Planejamento Execução Monitoramento e Controle Encerramento 4) (FCC – TRT 2ª Região – Analista Judiciário – Tecnologia da Informação – 2014) No PMBoK. O principal benefício deste grupo de processos é que o desempenho do projeto é observado e mensurado de forma periódica e uniforme para identificar variações em relação ao plano de gerenciamento do mesmo. identificar todas as áreas nas quais serão necessárias Prof. verifica se os processos definidos estão completos em todos os grupos de processos para encerrar o projeto ou uma fase do projeto. quando concluído.

(B) monitoramento e controle. identificar todas as áreas nas quais serão necessárias mudanças no plano e iniciar as mudanças correspondentes”. (E) execução.com.estrategiaconcursos.CONCURSEIROSUNIDOS. (C) planejamento. revisar e regular o progresso e o desempenho do projeto. Victor Dalton www. Prof.ORG . Grupo de processo com a finalidade de “acompanhar. Este grupo de processo é identificado no Guia PMBoK como Grupo de processos de (A) avaliação. Dá pra ter dúvida pessoal? Monitoramento e controle! Resposta: alternativa b). (D) melhoria continuada do projeto.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 mudanças no plano e iniciar as mudanças correspondentes.br 26 de 73 WWW.

O termo “temporário” significa que cada projeto tem um começo e um fim bem definidos e o termo “único” significa que o produto ou serviço produzido é. com o objetivo de gerenciar o desenvolvimento de produtos que envolvem mão de obra especializada. Os projetos têm natureza temporária e têm datas de início e fim definidas. e) um empreendimento tanto “cíclico” ou continuado quanto “temporário”. de alguma forma. O termo “cíclico” significa que cada projeto não tem nem começo nem fim definidos e o termo “único” significa que o produto ou serviço produzido é. e estarão concluídos quando as respectivas metas e objetivos forem cumpridos. um projeto de lançamento de um veículo novo por uma montadora resulta em uma nova linha de produção de veículos.2005) Segundo o PMBOK. As operações. O termo “temporário” significa que cada projeto tem um começo e um fim bem definidos e o termo “variados” significa que os produtos ou serviços produzidos devem ser os mais diversificados possíveis. de alguma forma. diferente de todos os outros produtos ou serviços semelhantes. letra c).CONCURSEIROSUNIDOS. como os resultados de uma pesquisa. c) um empreendimento “temporário” com o objetivo de criar um produto ou serviço “único”. Podem simplesmente produzir resultados. Resposta certa. b) um empreendimento “cíclico” ou continuado com o objetivo de criar um produto ou serviço “único”. Servem para lançar um produto novo ou serviço que não existia anteriormente. cuja produção passa a ser uma operação da montadora. um projeto pode ser definido como a) um empreendimento “cíclico” ou continuado com o objetivo de criar produtos ou serviços “variados”. por sua vez. garantindo assim a característica de reaproveitamento de um projeto.ORG . Victor Dalton www.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 EXERCÍCIOS 1ª Questão) (ESAF – Analista de Finanças e Controle – Tecnologia da Informação . Destaco ainda que projetos podem resultar em novas operações. O termo “cíclico” significa que cada projeto não tem nem começo nem fim definidos e o termo “variados” significa que os produtos ou serviços produzidos devem ser os mais diversificados possíveis.estrategiaconcursos. d) um empreendimento “temporário” com o objetivo de criar produtos ou serviços “variados”. Por exemplo. diferente de todos os outros produtos ou serviços semelhantes.br 27 de 73 WWW.com. Prof. são contínuas e repetitivas e mantêm a organização funcionando. garantindo assim a característica de reaproveitamento de um projeto.

mais Prof. Victor Dalton www. ao se preparar a estimativa de custo. a partir do qual.br 28 de 73 WWW. para cada pessoa adicional alocada ao projeto.CONCURSEIROSUNIDOS. O destaque desta questão é que o PMBOK fala em “tamanho ideal de equipe”. pessoas específicas com habilidades particulares são reunidas em torno de um objetivo comum. b) o tempo necessário para a finalização de um projeto é sempre proporcional ao número de pessoas alocadas a ele. c) entre os fatores que alteram a produtividade de um software estão o ambiente de trabalho e o processo de desenvolvimento. ajustados para se adaptar a esse preço. O projeto é temporário.ORG . é INCORRETO afirmar que a) não existe necessariamente uma relação direta entre o valor cobrado por um sistema e o custo de seu desenvolvimento. c) Geralmente. o termo "temporário" não se aplica ao produto. 3ª Questão) (FCC – TRE/SP – Analista Judiciário – Análise de Sistemas 2012) Sobre gerência de projetos. Após o término do projeto. mas os frutos gerados por ele. como uma unidade de trabalho. d) Verdade. então. Por ocasião de um projeto. e) existem diversas técnicas de estimativa de custos de sistema e. b) Um projeto é um esforço contínuo que visa manter um serviço em funcionamento. diversas técnicas devem ser utilizadas. d) Pode ser classificado como projeto aquele que é do tipo de pesquisa que desenvolve um conhecimento. serviço ou resultado criado pelo projeto. Analisando as alternativas: a) Sim. segundo o PMBOK. é normal que essa equipe seja desfeita. raramente sobrevive ao projeto. e) Os projetos podem criar uma capacidade de realizar um serviço. d) o preço de um software frequentemente é adequado para se fechar um contrato com o cliente e as funcionalidades oferecidas são.estrategiaconcursos. Uma questão interessante com conceitos genéricos sobre gerência de projeto. a princípio. é INCORRETO afirmar: a) A equipe do projeto.com. é verdade. e) Verdade também.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 2ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – 2009 – Tecnologia da Informação) A respeito dos conceitos aplicados aos Projetos. não compartilham desse caráter. b) Errado! Já sabemos que o projeto é um esforço temporário! c) Atenção! Não se deixe levar pela palavra “temporário”.

É a mesma coisa no desenvolvimento de um projeto. Victor Dalton www. de portfólio e de projeto. e tornar a reunião cansativa e contraproducente. encontram-se os processos de gerenciamento de a) projeto. ou seja. de projeto e de portfólio. de portfólio e de programa. é mais uma pessoa pra falar. de projeto e de programa. emitir opiniões. inclusive em seus prazos. Como consequência. Basta traçar um paralelo com reuniões. c) portfólio. o número de pessoas agrega valor à reunião (prega-se um número entre 5 e 7 pessoas).ORG .2011) No tocante à abrangência do escopo. d) projeto. 4ª Questão) (FCC – INFRAERO – Analista de Sistemas – Gestão de TI .com. A partir disso.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 um integrante para dividir informações. emitir opiniões. Até um certo ponto. Você já sabe responder essa pergunta! Resposta certa. na sequência do mais reduzido e específico para o mais abrangente e alinhado à estratégia da organização.2012) De acordo com o estabelecido no PMBOK. Alternativa b). 5ª Questão) (FCC – TRE/CE – Técnico Judiciário – Operação de Computador .CONCURSEIROSUNIDOS. NÃO é uma fase do ciclo de vida de um projeto Prof. prejudica-se o projeto. b) programa. “bater cabeça”. divergir.estrategiaconcursos. alternativa d).br 29 de 73 WWW. de programa e de portfólio. e) programa.

b) Sistema de controle de mudanças: conjunto de procedimentos formais e documentados que define como as entregas e a documentação do projeto serão controladas. c) a organização e preparação. Prof. Já conversamos sobre não confundir o ciclo de vida de um projeto com os grupos de processos do PMBOK. d) a execução. A alternativa e) foge do contexto.CONCURSEIROSUNIDOS.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 a) o início. Existe uma associação correta entre um termo e sua definição em: a) Ciclo de vida do produto: conjunto de fases. o sistema de controle de mudanças é um subconjunto do sistema de gerenciamento de configuração.estrategiaconcursos. que não os grupos de processos. geralmente em ordem sequencial. As alternativa de a) a d) apresentam o ciclo de vida. c) Validação: processo de formalização da aceitação das entregas do projeto terminadas. Na maior parte das áreas de aplicação.ORG . Victor Dalton www. 6ª Questão) (FCC – ARCE – Analista de Regulação – Analista de Sistemas – 2012) O PMBoK – Project Management Body of Knowledge traz um glossário com termos padronizados que são frequentemente usados em projetos. De qualquer maneira. b) o encerramento.br 30 de 73 WWW. cujos nomes e quantidades são determinados pelas necessidades de controle da organização ou organizações envolvidas no projeto. as alternativas já deixam claro que se trata de outra coisa. alteradas e aprovadas.com. e) a integração. programas e atividades de gerenciamento. Um ciclo de vida pode ser documentado com uma metodologia.

com. considere: I. Victor Dalton www. dois a dois. o sistema de controle de mudanças é um subconjunto do sistema de gerenciamento de configuração. Geralmente o ciclo de vida de um projeto está contido em um ou mais ciclos de vida do produto. A última fase do ciclo de vida geralmente é a deterioração e a morte do produto. alteradas e aprovadas. eventualmente as questões de PMBOK são mais refinadas. Ciclo de vida do produto: conjunto de fases que não se sobrepõem. sendo que a última fase do ciclo de vida de um produto é a entrega para o cliente final. cujos nomes e quantidades são determinados pelas necessidades de fabricação e controle da organização. Nossa resposta correta é a alternativa b). geralmente em ordem sequencial. cujos nomes e quantidades são determinados pelas necessidades de fabricação e controle da organização. geralmente sequenciais e não sobrepostas. e) Validação do escopo: técnica de avaliação de um componente ou produto durante ou no final de uma fase ou projeto para garantir que está de acordo com os requisitos especificados. geralmente em ordem sequencial. Ciclo de vida do projeto: conjunto de fases. Portanto. Sistema de controle de mudanças: conjunto de procedimentos formais e documentados que define como as entregas e a documentação do projeto serão controladas. Na maior parte das áreas de aplicação.CONCURSEIROSUNIDOS. O ciclo de vida do produto consiste em fases do produto. 7ª Questão) (FCC – TRT/6ª Região – Analista Judiciário – Tecnologia da Informação – 2012) Com relação ao ciclo de vida do produto.br 31 de 73 WWW.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 d) Ciclo de vida do projeto: conjunto de fases que não se sobrepõem.ORG . segundo o PMBOK. Prof. Um ciclo de vida pode ser documentado com uma metodologia. Como eu disse. Validação: técnica de avaliação de um componente ou produto durante ou no final de uma fase ou projeto para garantir que está de acordo com os requisitos especificados. determinadas pela necessidade de produção e controle da organização. reescrever os termos desta questão organizados corretamente. A última fase do ciclo de vida geralmente é a deterioração e a morte do produto. cujos nomes e quantidades são determinados pelas necessidades de controle da organização ou organizações envolvidas no projeto. houve troca de conceitos. Validação do escopo: processo de formalização da aceitação das entregas do projeto terminadas. Prefiro. geralmente em ordem sequencial. até mesmo para tornar essa questão mais didática.estrategiaconcursos.

O que nos leva a marcar a alternativa a).CONCURSEIROSUNIDOS. apenas. e) III.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 II.estrategiaconcursos. apenas. c) Processos de gerenciamento e Processos externos. 8ª Questão) (FCC – Prefeitura de São Paulo – Auditor Fiscal Tributário Municipal I (ISS) – Tecnologia da Informação – 2012) Segundo o PMBOK. se relaciona ao “como” a empresa faz as coisas. como já vimos. b) Processos e procedimentos e Base de conhecimento corporativa. São elas: a) Processos individuais e Processos coletivos. Os ativos de processos organizacionais podem ser agrupados em duas categorias. Prof. apenas. a instalação de um produto. Está correto o que se afirma em a) II e III. Espero que você tenha observado a pegadinha no item I. o desenvolvimento de um novo produto pode ser um projeto em si. Ao mesmo tempo.com. a condução de pesquisas de mercado. ou deterioração do produto! No mais. III. existem muitas relações possíveis. todo o conteúdo dos três itens é verdadeiro (incluindo o restante das sentenças do item I). II e III. apenas. de quaisquer ou todas as organizações envolvidas no projeto que podem ser usados para influenciar o sucesso do projeto. Victor Dalton www.ORG . Quando a saída do projeto está relacionada a um produto. realização de dinâmicas de grupo e de avaliações de produtos em mercados de teste. Em cada um destes exemplos. um produto existente pode se beneficiar de um projeto para o acréscimo de novas funções ou características. e) Processos de monitoramento e controle e Processos de encerramento.br 32 de 73 WWW. o ciclo de vida do projeto difere do ciclo de vida do produto. ao afirmar que “a última fase do ciclo de vida de um produto é a entrega para o usuário final”. d) I. b) I. por exemplo. Por exemplo. c) I e III. os ativos de processos organizacionais incluem qualquer um ou todos os ativos relacionados a processos. a realização de um estudo de viabilidade. diferentemente dos fatores ambientais da empresa. Vários aspectos do ciclo de vida do produto prestam-se à execução como projetos. d) Processos de planejamento e Processos de execução. que são fatores internos ou externos que podem influenciar o sucesso de um projeto. Pois já sabemos que esta fase é a morte. Os ativos de processos organizacionais. a execução de campanhas publicitárias.

11ª Questão) (FMP – ISS/POA – Agente Fiscal da Receita Municipal 2012) Qual das alternativas listadas corresponde à definição de projeto. c) ser contínuo e repetitivo.br 33 de 73 WWW.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 Os ativos de processos organizacionais são agrupados em duas categorias: processos e procedimentos (rotina da empresa) e base de conhecimento corporativa (lições aprendidas). representa a) uma implementação b) uma operação c) um programa d) um projeto e) uma instrução Projeto.CONCURSEIROSUNIDOS. em um dado período. Alguma dúvida aqui? Não admito aluna ou aluno meu dizendo que o projeto é contínuo e repetitivo! Item a ser marcado. Prof. Resposta certa. NÃO é característica de um projeto: a) possuir início e fim definidos. 9ª Questão) (Cesgranrio – BNDES .com. Alternativa d). de acordo com o PMBOK? a) Desenvolvimento de um produto esperado dentro do prazo e custo esperado.2008) O conjunto de atividades necessárias à criação de um serviço exclusivo. c) Conjunto de ações cujo resultado. b) desenvolver-se em etapas e continuar por incrementos. alternativa c). d) criar serviços únicos.Analista de Suporte .ORG . contribui para o atendimento de uma necessidade administrativa ou operacional. alternativa b).estrategiaconcursos. 10ª Questão) (ESAF – STN – Desenvolvimento de Sistemas de Informação . b) Conjunto de indivíduos e organizações envolvidos ou que serão afetados positivamente ou negativamente no resultado final. simples assim. até uma data limite. e) criar produtos únicos. Victor Dalton www.2008) Segundo o PMBOK.

A governança do projeto deve se restringir às fases isoladas. tanto internas quanto externas. enquanto a equipe de gerenciamento é encarregada de escolher as políticas mais apropriadas para seu projeto específico.Analista Judiciário – Tecnologia de Informação – 2012) Segundo o PMBOK. ao passo que a governança do projeto envolve escalões superiores do gerente. Alternativa e). Esta questão exige que você diferencie as atribuições da governança do projeto e do gerenciamento do projeto. pelo menos. 12ª Questão) (FCC – TRT 6ª Região . provavelmente próximos ao topo da organização. pode ocorrer mais de uma relação entre elas durante o ciclo de vida do projeto. são incompletas. a governança de projetos oferece um método abrangente e consistente de controle e garantia de sucesso do projeto. deixando o tratamento das relações com a equipe de Prof. O gerenciamento do projeto é realizado pelo gerente e sua equipe.estrategiaconcursos. A outra é que a) em projetos com várias fases. c) a organização da governança do projeto deve estabelecer políticas que padronizam todos os projetos. considerando duas restrições que devem ser observadas. o projeto é um esforço temporário com a finalidade de criar um produto.com.ORG . A governança do projeto deve se restringir às fases isoladas. serviço ou resultado único. d) a governança do projeto deve se adequar ao contexto mais amplo do programa ou da organização patrocinadora. pode ocorrer mais de uma relação entre elas durante o ciclo de vida do projeto. Uma das restrições é que a abordagem da governança do projeto deve ser descrita no plano de gerenciamento do projeto. e) Um esforço temporário com a finalidade de criar um produto/serviço único. e) a equipe de governança do projeto precisa identificar as partes interessadas. Victor Dalton www.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 d) Grupo de ações designados a alcançar um objetivo estratégico abrangente.CONCURSEIROSUNIDOS. Perceba que todas as alternativas. Vamos às alternativas: a) em projetos com várias fases. b) da mesma maneira que o gerenciamento do projeto. De acordo com o PMBOK.br 34 de 73 WWW. a fim de determinar os requisitos e as expectativas em relação ao projeto de todas as partes envolvidas. de a) a d). deixando o tratamento das relações com a equipe de gerenciamento do projeto. a governança do projeto deve dividir um projeto em duas fases onde uma equipe diferente pode escolher gerenciar todo o trabalho como uma única fase.

. 13ª Questão) (FMP – ISS/POA – Agente Fiscal da Receita Municipal 2012) Segundo o PMBOK. c) a organização da governança do projeto deve estabelecer políticas que padronizam todos os projetos.O erro está explícito. Prof. . a governança do projeto deve dividir um projeto em duas fases onde uma equipe diferente pode escolher gerenciar todo o trabalho como uma única fase. a) Planejamento estratégico. a governança deverá realizar tal divisão.com. que se encontra em patamar mais elevado na organização. o guia diz que algumas organizações podem estabelecer diretrizes a serem seguidas em todos os projetos. ferramentas e técnicas às atividades do projeto a fim de alcançar seus objetivos”. d) Definição de projeto. e não da equipe da governança do projeto. Em caso afirmativo. a fim de determinar os requisitos e as expectativas em relação ao projeto de todas as partes envolvidas. enquanto outras podem permitir que a equipe de gerenciamento escolha as políticas mais apropriadas para seu projeto específico. .br 35 de 73 WWW. e) a equipe de governança do projeto precisa identificar as partes interessadas. b) Gerência de projetos. c) Definição de operações. alternativa d). Percebam que essa é uma questão inevitavelmente se trabalha por eliminação.estrategiaconcursos.Na verdade. qual conceito é expresso com a frase: “Aplicação de conhecimentos. b) da mesma maneira que o gerenciamento do projeto. e) Gerência de operações. habilidades. Victor Dalton www. assim como deve adequar-se ao seu programa e a quem o patrocina.ORG . uma vez que a governança do projeto deve cuidar tanto das fases do projeto como do tratamento das relações entre elas. essa responsabilidade é da equipe de gerenciamento do projeto. enquanto a equipe de gerenciamento é encarregada de escolher as políticas mais apropriadas para seu projeto específico. pois cabe à governança do projeto verificar se há a necessidade de dividir o projeto em várias fases ou não. e Resposta certa.Na verdade.CONCURSEIROSUNIDOS.Esse item é um pouco sem sentido. não deve haver ingerências em outras áreas da empresa). d) É a correta! Simplificando: a governança do projeto deve ocorrer no escopo do projeto (ou seja. tanto internas quanto externas. .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 gerenciamento do projeto. que exige mais atenção.

Palavras do PMBOK. Prof. em qual forma de organização o gerente de projetos trabalha? a) matricial forte b) matricial apertada c) funcional d) projetizada e) projetizada compartilhada Esta questão trata da estrutura organizacional das organizações e empresas.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 Gerenciar um projeto é aplicar conhecimentos.com.CONCURSEIROSUNIDOS. sem dúvidas.br 36 de 73 WWW. 14ª Questão) (Cesgranrio . Alternativa b).Eletrobrás – Analista de Sistemas – Engenharia de Software – 2010) Um gerente de projetos está tentando concluir um projeto de desenvolvimento de software. Considerando o PMBOK. O gerente de projeto em organização funcional é. habilidades. Os recursos já alocados não têm dedicação exclusiva. espero que você tenha visualizado que a resposta correta é a letra c). e o PMBOK gosta de frisar esta parte. mas está enfrentando dificuldades para designar adequadamente os recursos. Victor Dalton www. o que enfrenta mais dificuldades no desempenho de suas atividades. pois o tempo é dividido entre as tarefas departamentais e a do projeto.estrategiaconcursos. ferramentas e técnicas às atividades do projeto a fim de alcançar seus objetivos. Vamos rever a tabela das estruturas organizacionais e suas características? Pelas reclamações do enunciado.ORG . devido à sua pouca autoridade.

clientes. Prof. c) O pessoal administrativo da gerência do projeto só trabalha em tempo integram em organizações matriciais fortes e projetizadas. a disponibilidade de recurso é de moderada a alta. e) Gerente do Projeto. as estruturas organizacionais influenciam na forma como os projetos são executados. organização executora ou o público) ativamente envolvidas no projeto ou cujos interesses podem ser positiva ou negativamente afetados pela execução ou término do projeto. Errada. Distribuidores. Gerentes de Departamento. Diretoria. e) projetizada. Gerentes de Contingência.estrategiaconcursos. d) Gerente do Projeto. Escritório de Projetos. Fornecedores Concorrentes. e) Errado. Assessoria. Programa de Treinamento. Diretoria. Distribuidores. Cliente. o papel de gerente de projeto é de dedicação parcial.com. Analisando as alternativas: a) Gerente de projeto não tem poder sobre o orçamento em organização funcional. Nesse contexto. o gerente de projeto possui dedicação total ao projeto. Gerentes de Treinamento. a autoridade do gerente de projeto é de considerável a total. Entidades Externas.2011) Segundo o PMBOK 5a Edição.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 15ª Questão) (Cesgranrio – Petrobrás – Analista de Sistemas Júnior – Processos de Negócio . Logística. b) Autoridade de considerável a total é característica de organização projetizada. Em organizações projetizadas. Empresas Concorrentes. Victor Dalton www. Mantenedores. Gerentes de Conta. As partes interessadas (stakeholders) são pessoas ou organizações (por exemplo. Gerente Executivo. Patrocinador do Projeto. Gerentes de Operações. Cliente. c) matricial balanceada. b) Gerente do Projeto. são stakeholders de um projeto: a) Gerente do Projeto. quem controla o orçamento é o gerente de projeto. Fornecedores. Fornecedores. 16ª Questão) (ESAF – Comissão de Valores Mobiliários – Analista de Sistemas – 2010) Segundo o PMBOK. Errado. na estrutura organizacional a) funcional. Controlador do Projeto. o pessoal administrativo da gerência do projeto trabalha para o mesmo em tempo integral. b) matricial fraca. Coachers.CONCURSEIROSUNIDOS. Estratégias. d) matricial forte.br 37 de 73 WWW.ORG . Diretoria. Fornecedores. Gerente Executivo. c) Pool de Programação. patrocinadores. Cliente. Secretaria Executiva. Servidores. Webmasters. d) Correta. Patrocinador do Projeto. Analista do Projeto. Errada.

analisemos as alternativas: A letra a) não aparenta ter nada errado. E. visando completar formalmente o projeto ou a fase. Otimização e Garantia da Qualidade do Processo.estrategiaconcursos. e) Iniciação.a d) fala em Secretaria Executiva. O Grupo de Processos de Execução. Já o Grupo de Processos de Planejamento consiste nos processos realizados para estabelecer o escopo total do esforço.. d) Otimização. o concorrente não é um stakeholder. Crítica e Execução. Eu falei que esses grupos de processos nunca podem ser esquecidos! O Grupo de Processos de Iniciação consiste nos processos realizados para definir um novo projeto ou uma nova fase de um projeto existente. b) Iniciação.com. O Grupo de Processos de Monitoramento e Controle consiste nos processos necessários para acompanhar. revisar e regular o progresso e o desempenho do projeto. Coachers. Gerentes de Conta.. definir e refinar os objetivos e desenvolver o curso de ação necessário para alcançar esses objetivos. com o conceito em mente.ORG .. a b) fala em Programa de Treinamento. Particularmente. Pois é. Webmasters. de todos os grupos de processos de gerenciamento do projeto. entre os quais: a) Monitoramento e Controle. identificar todas as áreas nas quais serão necessárias mudanças no plano e iniciar as mudanças correspondentes. e a e) é absurda.. Execução e Crítica.. o Grupo de Processos de Encerramento consiste nos processos executados para finalizar todas as atividades. a c) fala em Pool de Programação(?). por sua vez. Planejamento e Monitoramento e Controle. citando Estratégias e Logística. não custa relembrar.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 Agora. Prof. ou obrigações contratuais. Victor Dalton www.. consiste nos processos realizados para concluir o trabalho definido no plano de gerenciamento do projeto de forma a cumprir as especificações do projeto. fiquemos com a letra a). obtendo autorização para tal. e uma pergunta envolvendo estas definições elementares destes grupos de processos dificilmente conseguirão te confundir. c) Planejamento. 17ª Questão) (FCC – TRE/RJ – Analista de Sistemas – 2012) O Project Management Body of Knowledge (PMBoK) é um conjunto de práticas em gerência de projetos que divide o ciclo de vida do projeto em cinco grupos de processos. Planejamento e Encerramento.br 38 de 73 WWW.CONCURSEIROSUNIDOS. Por fim. acho esta sequência razoavelmente lógica..

geralmente cada fase requer organização e habilidades específicas.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 Desta forma. Questão maldosa! Apesar de o início estar correto.com. Victor Dalton www. julgue os itens seguintes. o gerente de projeto tem nenhuma ou quase nenhuma autoridade.br 39 de 73 WWW. relativos a gerenciamento de projetos. 19 Na estrutura organizacional funcional clássica. Correta. e não possui controle algum sobre o orçamento. nossa resposta é a letra e). o orçamento de um projeto é controlado pelo gerente funcional da empresa e não pelo gerente do projeto. por isso.ORG . não cabendo a ele o gerenciamento direto de um projeto. Correta. Este texto é transcrição do PMBOK.2010) Considerando o corpo de conhecimentos em gerenciamento de projetos da 5. (CESPE – TCE/ES – Auditor de Controle Externo – Tecnologia da Informação . segundo a quarta edição do PMBOK.CONCURSEIROSUNIDOS. Prossigamos! (CESPE – TCU – Auditor Federal de Controle Externo – Tecnologia da Informação . sendo que o trabalho em cada uma delas tem foco distinto do de qualquer outra fase e. Errada. mas apenas em condições excepcionais.estrategiaconcursos. 20 Um gerente de projeto e um escritório de projeto (PMO) são orientados por objetivos diferentes e. 21 Em uma organização do tipo funcional. Como já vimos. pode sim o PMO gerenciar diretamente um projeto. por isso. 18 As fases de um projeto são divisões desse projeto.ª edição do PMBOK.2012) Julgue os itens subsecutivos. em uma estrutura organizacional clássica. a equipe designada para trabalhar em um projeto subordina-se a um gerente de projetos e deve dedicar- Prof. a responsabilidade do PMO é a de fornecer suporte ao gerenciamento de projetos.

em uma organização funcional a autoridade do gerente de projeto é baixíssima. certamente compreende um projeto. controlar as comunicações do projeto é atribuição dos processos de monitoramento e controle. A afirmativa começa de maneira correta. Após o lançamento. gerenciar as comunicações e controlar as comunicações do projeto com base no plano de gerenciamento do projeto. Certa. o lançamento do veículo. autores afirmam que mudanças no fim de ciclo de vida em um projeto podem custar de 10 a 100 vezes mais do que caso a mudança fosse detectada durante o planejamento.estrategiaconcursos. Certa. 25 Todo projeto é temporário. invariavelmente nos deixam com um pé atrás da orelha para marcarmos certo. Victor Dalton www. Entretanto. sem dúvidas.br 40 de 73 WWW.CONCURSEIROSUNIDOS. as mudanças tendem a ser mais onerosas. Logo. “nunca”. desde os primeiros rascunhos até o seu lançamento. Como já vimos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 se apenas ao desenvolvimento do projeto.com. Sentenças do tipo “sempre”.ORG . 23 O projeto de lançamento de novo automóvel no mercado é exemplo de uma fase do ciclo de vida desse produto. Certa. mas. será uma operação continuada. entre outros. Por isso tal fase é tão importante. a equipe designada continua subordinada aos seus respectivos chefes funcionais. ainda mais em Prof. tendo uma data de início e uma data de fim definidas. 22 Na etapa do ciclo de vida de um projeto que está prestes a ser concluído. desvinculando-se de outros trabalhos do departamento. “todo”. cumprir processos. e trabalham pro projeto apenas em “horário livre”. Errada. pois a prioridade é o trabalho cotidiano. Errada. 24 Os processos de execução têm por finalidade. Inclusive. a produção deste novo carro. gerenciar pessoas.

ORG . Entratanto. treinamento e supervisão de gerentes de projetos. que pertencem a outras áreas da administração. O PMBOK.com. melhores práticas e padrões de gerenciamento de projetos.2012) 27 O desenvolvimento de um novo software poderá ser conduzido como o gerenciamento de um projeto e as operações poderão ser conduzidas como gerenciamento dos processos do negócio. abriu essa possibilidade para o PMO. e sim um detentor de know-how. 28 Em um projeto em que foi adotada a estrutura organizacional matricial balanceada. e que eventualmente esse escritório gerenciasse um projeto mais importante para a organização.estrategiaconcursos. Aproveito esta questão para chamar a atenção para um ponto polêmico.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 questões CESPE. c) Controlar o orçamento da organização. O Escritório de Projetos não controla o orçamento da organização. não seria absurdo que gerentes de projetos mais experientes integrassem o PMO. b) Gerenciamento de recursos compartilhados entre todos os projetos administrados pelo PMO. d) Monitoramento da conformidade com as políticas. divide-se o controle do orçamento entre o gerente do projeto e o Prof. delimitação no tempo. Contudo. auditor dos projetos e assessor dos gerentes de projetos. na figura de um ou mais integrantes.CONCURSEIROSUNIDOS. Correto. Quanto à questão. e) Identificação e desenvolvimento de metodologia. O PMO não é um núcleo executor de projetos. procedimentos e modelos padrões de gerenciamento de projetos por meio de auditorias do projeto.br 41 de 73 WWW. em sua quarta edição. aconselhamento. espero que você tenha percebido que a única alternativa que possui uma idéia não alinhada com as demais é a letra c). (CESPE – ANAC – Analista – Área 4 . Victor Dalton www. nós sabemos que todo projeto possui uma 26ª Questão) (Formulação pessoal) Não é uma função do Escritório de Projetos (Project Management Office) a) Orientação.

2013) A propósito da 5. (CESPE – BACEN – Analista – Área 2:Infraestrutura de TI . Certa. em uma organização.estrategiaconcursos. (CESPE – MPOG – Categoria Profissional 7 . é correto afirmar que. ou seja.br 42 de 73 WWW. realizando-se um agrupamento com vistas a facilitar o gerenciamento desse trabalho e a atingir os objetivos de negócios estratégicos da organização. a equipe de projeto tenha encontrado dificuldades para elaborar o termo de abertura do projeto. Errada. mesmo que se gerencie o projeto em porta-fólios. O termo de abertura do projeto não define de forma irreversível o produto a ser criado.ORG . criam-se produtos. ao passo que o corpo administrativo exerce suas tarefas em tempo parcial.CONCURSEIROSUNIDOS. para concluir a tarefa. na fabricação de um produto.com. Para refinar o escopo do projeto. priorizar projetos. a equipe não identificou bem os objetivos ou o produto do projeto. Victor Dalton www. ajudar a fornecer recursos e fazer parte do comitê de controle de mudanças. Esse tipo de plano é iterativo. Prof. uma unidade que pode recomendar o cancelamento de projetos. Certa. serviços ou resultados exclusivos. 31 PMO (Project Management Office) é. julgue os itens que se seguem.ª edição do PMBok. sendo elaborado progressivamente mediante melhorias contínuas ao longo do ciclo de vida do projeto. 30 Considerando-se que.2013) 29 Em cada projeto. Certa.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 gerente funcional e tem-se o gerente de projetos em realização de atividades em tempo integral. existem os processos da área de conhecimento de Escopo. por meio do plano de gerenciamento de projeto.

Ou seja. pois o pedido. b) Ignora o pedido. Este grupo de processo é identificado no Guia PMBoK como Grupo de processos de a) avaliação.br 43 de 73 WWW. por um gerente de projeto quando outro gerente de um projeto de vital importância solicita o empréstimo temporário de um colaborador.CONCURSEIROSUNIDOS. c) planejamento.ORG . Grupo de processo com a finalidade de “acompanhar. a) Cede o colaborador. deve ser decidido por um nível hierárquico superior. Victor Dalton www. Dá pra ter dúvida pessoal? Monitoramento e controle! Alternativa b). 33ª Questão) (CETRO – SEMSA/Manaus – Analista de Sistemas – 2012) Quanto ao gerenciamento de projetos. dentre as várias decisões Prof. Esta é uma questão típica de raciocínio. revisar e regular o progresso e o desempenho do projeto. os processos de gerenciamento de projetos são agrupados em diversos grupos de processos. e) Aciona os níveis hierárquicos superiores para tomar a decisão. revisar e regular o progresso e o desempenho do projeto. e) execução. primeiro lugar. assinale a alternativa que apresenta a ação correta a ser tomada em.com.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 32ª Questão) (FCC – TRT/2ª Região – Analista Judiciário – Tecnologia da Informação 2014) No PMBoK. d) melhoria continuada do projeto. se justificável. identificar todas as áreas nas quais serão necessárias mudanças no plano e iniciar as mudanças correspondentes”. c) Faz análise de risco para o seu projeto ao emprestar o colaborador.estrategiaconcursos. d) Refaz seu cronograma para contornar o empréstimo. b) monitoramento e controle. Perceba que a questão pede a ação correta a ser tomada em primeiro lugar. pois o projeto é de vital importância. identificar todas as áreas nas quais serão necessárias mudanças no plano e iniciar as mudanças correspondentes. Um destes grupos contém os processos necessários para acompanhar.

inconveniente partir para uma conduta destas sem nenhuma análise. c) Analisar o risco do empréstimo do colaborador – vejo aqui uma boa conduta. e) Acionar os níveis hierárquicos superiores – esta é a única alternativa que poderia causar alguma dúvida maior. qual seria a primeira coisa a fazer. Uma vez analisado o risco.estrategiaconcursos. imagine o gerente de projetos levando esse problema adiante. ou levar o problema ao escalão superior. Agora. Afinal. duas alternativas são viáveis: ceder o colaborador. nada foi decidido. o gerente de projeto é o responsável pelo êxito do mesmo.ORG . Afinal de contas.CONCURSEIROSUNIDOS. Portanto. e vai ceder sem questionar? b) Ignorar o pedido – o projeto do outro gerente é de vital importância. ficaria feio para o gerente não saber responder a essa pergunta. c) vantagem o fato de existir uma grande flexibilidade no uso dos recursos humanos necessários ao projeto. b) vantagem o fato de que especialistas em determinado assunto podem ser utilizados em diferentes projetos. 34ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013 – prova anulada) Em relação à estrutura projetizada. Analisemos as assertivas: a) Ceder o colaborador – no mínimo estranho! Pediu um colaborador. d) Refazer o cronograma – mais uma vez. Victor Dalton www. mantém uma autoridade completa sobre o projeto como um todo. Qual seria a provável primeira pergunta do stakeholder de nível superior: “Vem cá. caso o risco seja de moderado a alto. d) desvantagem o fato de que as comunicações são dificultadas em comparação à estrutura funcional. gerente. e consequências do afastamento de um colaborador-chave devem ser avalizadas por algum stakeholder influente. é correto afirmar que ela tem como a) vantagem o fato de que um único indivíduo.com. e) desvantagem o fato de não existir uma unidade de comando dentro do projeto. Ignorar o pedido não parece ser uma conduta sensata. caso o risco seja muito baixo. é bem razoável que a alternativa c) seja o item a ser marcado.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 apresentadas nas assertivas.br 44 de 73 WWW. provavelmente pelo patrocinador. Prof. por não ter feito a análise de risco antes. o gerente de projetos. qual seria o impacto do empréstimo temporário desse colaborador para o projeto?” Certamente.

Victor Dalton www. d) desvantagem o fato de que as comunicações são dificultadas em comparação à estrutura funcional. O gerente é a unidade de comando do projeto. – nitidamente errado.estrategiaconcursos. Organização projetizada:ilustração As principais características de uma organização projetizada são:     Autoridade alta a quase total do gerente de projetos. Total controle do gerente de projetos sobre o orçamento. pois com dedicação integral ao projeto não há obstáculos para comunicações internas.com. Disponibilidade de recursos de alta a quase total. Inclusive. e) desvantagem o fato de não existir uma unidade de comando dentro do projeto. – correta! b) vantagem o fato de que especialistas em determinado assunto podem ser utilizados em diferentes projetos. Dedicação integral ao projeto do gerente e de sua equipe. – o PMBOK não fala nada sobre isso.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 A estrutura projetizada é aquela na qual a organização é totalmente orientada a projetos.br 45 de 73 WWW. Inclusive. Analisando as alternativas: a) vantagem o fato de que um único indivíduo. dá a entender que a equipe de um projeto se dedica exclusivamente a ele. c) vantagem o fato de existir uma grande flexibilidade no uso dos recursos humanos necessários ao projeto. o gerente de projetos. mantém uma autoridade completa sobre o projeto como um todo.CONCURSEIROSUNIDOS. – o PMBOK não fala nada sobre isso. Prof. dá a entender que a equipe de um projeto se dedica exclusivamente a ele. – errado. e o organograma da organização é montado especificamente para atender aos mesmos.ORG .

b) Aberta e exata. a única que destoa é a alternativa a).estrategiaconcursos. Assinale a alternativa que apresenta a expectativa de Roberto quanto à comunicação.CONCURSEIROSUNIDOS. 37ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013 – prova anulada) Em relação a projetos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 35ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013 – prova anulada) Roberto foi admitido como gerente de projeto em uma empresa de estrutura matricial. ambos com níveis de autoridade similares. Victor Dalton www. Alternativa e). b) O desenvolvimento de um novo serviço. A manutenção de um produto é uma operação continuada. e) A implantação de um novo processo de negócio. a) De fácil gerência. serviço ou resultado exclusivo. d) A implantação de novo procedimento. Prof. em seguida. e) Complexa. a) A manutenção de um produto. uma vez que a equipe do projeto se verá dividida entre a chefia funcional e o gerente de projetos. c) Simples. d) Sem conflitos. 36ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013 – prova anulada) Assinale a alternativa que não apresenta um componente do resultado de um projeto. Das alternativas citadas. c) A construção de uma casa com piscina.br 46 de 73 WWW. é razoável imaginar que a comunicação será complexa. assinale a alternativa que apresenta a sequência correta. marque V para verdadeiro ou F para falso e. ele precisa produzir algo inédito.ORG . Na estrutura matricial. existe uma divisão da equipe entre as suas atribuições no projeto e suas responsabilidades junto ao seu departamento funcional.com. Ou seja. Isto posto. O projeto produzirá produto.

pois os projetos são finitos. b) I e II.correto. I. Os custos envolvidos são monitorados pela gerência executiva. Os custos envolvidos são monitorados pela gerência executiva – correto. a) F/ V/ V/ F b) V/ V/ V/ V c) F/ F/ F/ F d) V/ F/ V/ F e) V/ V/ F/ V Analisando os itens: São realizados por equipes. d) II e III. é óbvio que o alto escalão monitorará os custos.CONCURSEIROSUNIDOS. Não é sua função o treinamento de equipes de trabalho quanto aos procedimentos a serem seguidos. Terminam quando o objetivo é alcançado. Afinal.ORG . apenas. ela precisa acompanhar a evolução dos gastos. para saber se o projeto não é um “ralo” de recursos da organização. apenas.estrategiaconcursos. c) I e III. Possuem data para terminar – correto. 38ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013 – prova anulada) Em relação ao escritório de projetos. apenas. II. Ele pode realizar fechamento de projeto. analise as assertivas abaixo. Terminam quando o objetivo é alcançado . É correto o que se afirma em a) I. Possuem data para terminar. É de sua competência o desenvolvimento de procedimentos a serem seguidos no desenvolvimento dos projetos. apenas. e) I. Embora o gerente de projetos possa ter autoridade sobre o orçamento. alternativa b).Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 ( ( ( ( ) ) ) ) São realizados por equipes. Victor Dalton www.br 47 de 73 WWW. pois os projetos são finitos. Resposta correta. Analisando as alternativas: Prof. – correto. III.com. II e III.

É de sua competência o desenvolvimento de procedimentos a serem seguidos no desenvolvimento dos projetos – Perfeito. 40ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013) Quanto aos conceitos de gestão de programas. Não existem Processos Facilitadores.estrategiaconcursos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 Ele pode realizar fechamento de projeto – atenção ao verbo! Dependendo da autoridade do PMO. Não é sua função o treinamento de equipes de trabalho quanto aos procedimentos a serem seguidos – errado. Planejamento. É atribuição de qualquer PMO fornecer expertise para o desenvolvimento de projetos em geral. e) Processos Facilitadores. Prof. a) Processos de Iniciação. Alternativa e). alternativa b).com.br 48 de 73 WWW. Monitoramento e Encerramento (Fechamento). b) Processos de Planejamento. ele poderá sim encerrar projetos sob sua alçada. ( ) Não pode incluir elementos de trabalho relacionados fora do escopo de projetos distintos no programa. marque V para verdadeiro ou F para falso e. mas um programa sempre terá projetos. Resposta certa. Victor Dalton www. d) Processos de Monitoramento e Controle.ORG . assinale a alternativa que apresenta a sequência correta.CONCURSEIROSUNIDOS. ( ) Um projeto pode ou não fazer parte de um programa. em seguida. É atribuição de qualquer PMO fornecer expertise para o desenvolvimento de projetos em geral. Controle. ( ) Concentra-se nas interdependências do projeto e ajuda a determinar a melhor abordagem para gerenciá-lo. c) Processos de Fechamento. Iniciação. Execução. 39ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013 – prova anulada) Assinale a alternativa que apresenta uma classificação de processos de gerenciamento de projetos que não é mais recomendada.

existe apenas um portfólio de projetos. 41ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013) Quanto ao escritório de projetos. tecnologia ou recurso compartilhado. Se não há nada em comum nos projetos. não um programa. Os projetos dentro de um programa são relacionados através do resultado comum ou da capacidade coletiva. Se a relação entre projetos for somente a de um cliente. Alternativa b). tecnologia ou recurso compartilhado. uma vez que os programas procuram obter benefícios de projetos que não poderiam ser obtidos caso os projetos fossem coordenados isoladamente. vendedor. vendedor. Não pode incluir elementos de trabalho relacionados fora do escopo de projetos distintos no programa – errado. analise as assertivas abaixo.estrategiaconcursos.ORG . Prof. os programas podem conter outras atividades. Victor Dalton www. Controla os recursos atribuídos ao projeto para atender da melhor forma possível aos seus objetivos.com. sua tecnologia ou recurso compartilhado. seu vendedor.br 49 de 73 WWW. Programas procuram obter benefícios de projetos que não poderiam ser obtidos caso eles fossem coordenados isoladamente. Não faz sentido a existência de programas sem projetos. o esforço deve ser gerenciado como um programa e não como um portfólio de projetos. a não ser o cliente final. a) V/ F/ F/ V b) V/ F/ V/ F c) F/ V/ F/ V d) F/ V/ V/ F e) V/ V/ F/ V Analisando: Concentra-se nas interdependências do projeto e ajuda a determinar a melhor abordagem para gerenciá-lo – correto. o esforço deve ser gerenciado como um programa e não como um portfólio de projetos – errado.CONCURSEIROSUNIDOS. Justamente para a obtenção de benefícios. I. Um projeto pode ou não fazer parte de um programa.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 ( ) Se a relação entre projetos for somente a de um cliente. mas um programa sempre terá projetos – correto.

e) I. cronograma. Parcialmente correto. os padrões e o risco/ oportunidade global e as interdependências entre os projetos no nível da empresa – O gerente de projetos é quem se preocupa com escopo. Mas. o PMO se preocupa com metodologias. ou seja. realmente. Gerencia as restrições de escopo. Analisando: Controla os recursos atribuídos ao projeto para atender da melhor forma possível aos seus objetivos .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 II. ou seja. cronograma. Gerencia as restrições de escopo. III.isso é coisa do gerente de um projeto específico. Victor Dalton www.ORG . de seus respectivos projetos. d) II e III. que se preocupa em otimizar o uso dos recursos organizacionais para compartilhar entre todos os projetos. os padrões e o risco/ oportunidade global e as interdependências entre os projetos no nível da empresa. as metodologias.CONCURSEIROSUNIDOS. apenas. II e III. Gerente de Projeto Objetivos do seu Projeto Escritório de Projetos Gerencia mudanças no escopo do programa que possam ser vistas como oportunidade para melhor alcançar os objetivos de negócios Controlar recursos do seu projeto para Otimizar o uso dos recursos organizacionais para atingir os objetivos do projeto compartilhar entre todos os projetos Prof. Gerencia as principais mudanças do escopo do programa que podem ser vistas como possíveis oportunidades para melhor alcançar os objetivos de negócios – correto. apenas b) II.com. Errado. custo e qualidade dos projetos individuais. c) III. cronograma. errado. custo e qualidade dos projetos individuais. não do escritório. custo e qualidade de projetos individuais. É correto o que se afirma em: a) I. apenas. as metodologias.estrategiaconcursos. Gerencia as principais mudanças do escopo do programa que podem ser vistas como possíveis oportunidades para melhor alcançar os objetivos de negócios.br 50 de 73 WWW. apenas. os padrões e o risco/ oportunidade global e as interdependências entre os projetos no nível da empresa.

sem impacto significativo sobre os custos. rs. Victor Dalton www. a) Os níveis de custo e de pessoal são altos no início do projeto e caem ao longo do projeto. conforme o projeto progride para o seu término.com. c) A capacidade de influenciar as características finais do produto do projeto. No início do projeto é que elas possuem maior capacidade de delinear os requisitos. A influência das partes interessadas é menor durante o início do projeto e cresce ao longo de sua vida. é mais alta no início e tornase cada vez menor. os custos são baixos. risco/oportunidade global e as interdependências entre projetos no nível da empresa Alternativa b). sem impacto significativo sobre os custos. padrões.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 Restrições de seu projeto Gerencia metodologias. b) A influência das partes interessadas é menor durante o início do projeto e cresce ao longo de sua vida. e) As incertezas são menores durante o início do projeto e aumentam ao longo da vida do projeto.estrategiaconcursos. . 42ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013) Assinale a alternativa que apresenta uma análise correta do ciclo de vida de um projeto. – corretíssimo! Modificações nas fases finais do projeto custarão mais caro! Os custos das mudanças e correções de erros geralmente diminuem significativamente conforme o projeto se aproxima do término. Nas fases iniciais. podendo apenas avalizar ou não o que está sendo feito. A capacidade de influenciar as características finais do produto do projeto.br 51 de 73 WWW. No avançar do ciclo.ORG . d) Os custos das mudanças e correções de erros geralmente diminuem significativamente conforme o projeto se aproxima do término. é mais alta no início e torna-se cada vez menor. Quando a execução começa é que o bicho pega. eles começam a ficar restritos. Outra questão de raciocínio! Vejamos: Os níveis de custo e de pessoal são altos no início do projeto e caem ao longo do projeto – errado.CONCURSEIROSUNIDOS.errado! Modificações nas fases finais do projeto custarão mais caro! Prof. conforme o projeto progride para o seu término. cuja ênfase é o planejamento. – errado.

suporte. Victor Dalton www. Possui responsabilidades que podem variar desde o fornecimento de funções de apoio ao gerenciamento de projetos até a responsabilidade real pelo gerenciamento direto de um projeto.com.CONCURSEIROSUNIDOS. – errado. No início. treinamento. e um apartamento pronto. 43ª Questão) (FCC – TRT 3ª Região – Analista Judiciário – Informática – 2014) É um esforço temporário empreendido para criar um produto. pode ser considerada uma parte interessada. visitando a própria unidade. (B) serviço. Conhecer bem a definição de projeto é fundamental. À medida que o projeto vai sendo executado e “as coisas acontecem”. como políticas. Se tiver responsabilidade direta ou indireta pelo resultado do projeto.TRT 16ª Região – Analista Judiciário – Informática – 2014) É uma entidade ou corpo organizacional à qual são atribuídas várias responsabilidades relacionadas ao gerenciamento centralizado e coordenado dos projetos sob seu domínio. metodologias e modelos. (E) processo.ORG . A sua natureza temporária indica um início e um término definidos. olhando para um terreno baldio.br 52 de 73 WWW. Pode oferecer serviços de suporte administrativo. o texto acima é definição de (A) estimativa. Não é mesmo? Alternativa c).Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 As incertezas são menores durante o início do projeto e aumentam ao longo da vida do projeto. (C) planejamento. a insegurança é muito grande. a insegurança vai diminuindo. pois sempre pode cair em prova. orientação e treinamento em relação a como gerenciar projetos e usar as ferramentas etc. O término é alcançado quando os objetivos tiverem sido atingidos ou quando se concluir que esses objetivos não serão ou não poderão ser atingidos e o projeto for encerrado. serviço ou resultado exclusivo. aconselhamento e orientação de gerentes de projetos. ou quando o mesmo não for mais necessário.estrategiaconcursos. Basta imaginar a compra de um apartamento na planta. De acordo com o PMBOK. Resposta: alternativa d). (D) projeto. 44ª Questão) (FCC . Prof.

br 53 de 73 WWW. Prof. Resposta: alternativa e).com. importantíssimo para uma organização que preze pelo bom andamento de seus projetos.estrategiaconcursos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 A entidade organizacional definida no texto acima é conhecida como: (A) Gerência de portfólio de projetos. é INCORRETO afirmar: (A) Os níveis de custo e de pessoal são baixos no início. (C) Gerência de Tecnologia da Informação.CONCURSEIROSUNIDOS. O Escritório de Projetos é esse elemento. 45ª Questão) (FCC – TRT 2ª Região – Técnico Judiciário – Tecnologia da Informação – 2014) De acordo com o guia PMBoK. atingem um valor máximo enquanto o projeto é executado e caem rapidamente conforme o projeto é finalizado.ORG . Victor Dalton www. (B) Fábrica de projetos. (E) Escritório de projetos. a estrutura genérica do ciclo de vida de projeto apresenta algumas características. Considerando o ciclo de vida do projeto e as informações do gráfico. dentre as quais estão as apresentadas no gráfico abaixo. (D) Incubadora de projetos.

em função da equipe receber cada vez mais integrantes conforme vai surgindo necessidade de novos conhecimentos e habilidades. (E) Os custos das mudanças e correções de erros geralmente aumentam significativamente conforme o projeto se aproxima do término. do início até o término do projeto. os custos da equipe de projetos (A) diminuem de forma linear. que cita que as curvas são diretamente proporcionais. 46ª Questão) (FCC – TCE/RS – Auditor Público Externo – Técnico em Processamento de Dados – 2014) Segundo o PMBoK v5.CONCURSEIROSUNIDOS. quando ocorre todo o esforço de planejamento. os riscos e as incertezas são maiores durante o início do projeto. não havendo oscilações significativas ao longo do tempo e do ciclo de vida do projeto. Estes fatores caem ao longo da vida do projeto. (C) A influência dos stakeholders.estrategiaconcursos. (C) são maiores no momento inicial do projeto. (D) A capacidade de influenciar as características finais do produto do projeto.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 (B) As curvas representadas pelos custos de mudanças e influência dos stakeholders. é fictícia. Não precisa sequer ler o conteúdo da sentença para saber que as curvas são inversamente proporcionais. quando há plena execução de tarefas planejadas do desenvolvimento do produto. Resposta: alternativa b). A frase.ORG .com. (D) são estáveis. (E) aumentam de forma linear. sem impacto significativo sobre os custos. Victor Dalton www. (B) são mais elevados em fases intermediárias do projeto. que permeia todo o ciclo de vida do projeto. é mais alta no início e tornase cada vez menor conforme o projeto progride para o seu término. O absurdo é a alternativa b). Prof. As alternativas são transcrições das características enumeradas pelo PMBOK. do início até o término do projeto.br 54 de 73 WWW. como um todo. riscos e incertezas são diretamente proporcionais devido às dificuldades da etapa de elicitação de requisitos. em função da liberação das pessoas que já cumpriram suas atividades.

qualidade etc. padrões. o risco/oportunidade global e as interdependências entre os projetos no nível da empresa.br 55 de 73 WWW. alternativa b). III. (E) III e IV. incluindo o gerente. as diferenças entre o papel do gerente de projetos e de um escritório de projetos incluem o que consta APENAS em (A) II e IV. cronograma. que é absurdo. (D) II e III. 47ª Questão) (FCC – TCM/GO – Auditor de Controle Externo – Informática – 2015) Com relação às atribuições de um Gerente de Projetos e de um escritório de projetos. II. à exceção do item II. O Gerente de Projetos tem como função principal dar suporte ao escritório de projetos por meio do gerenciamento de recursos compartilhados entre todos os projetos.) dos projetos individuais. custo. enquanto o escritório de projetos gerencia as principais mudanças do escopo do programa que podem ser vistas como possíveis oportunidades para melhor alcançar os objetivos de negócios. O Gerente de Projetos controla os recursos atribuídos ao projeto para atender da melhor forma possível aos objetivos do projeto. considere: I. IV.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 Segundo o PMBOK. A questão transcreve o comparativo que envolve o Gerente de Projetos e o Escritório de Projetos.CONCURSEIROSUNIDOS. Victor Dalton www. O Gerente de Projetos concentra-se nos objetivos especificados do projeto. enquanto o escritório de projetos otimiza o uso dos recursos organizacionais compartilhados entre todos os projetos. (C) I. Resposta certa. O Gerente de Projetos gerencia as restrições (escopo. Os níveis de custo e de pessoal são baixos no início. Segundo o Guia PMBoK.com. atingem um valor máximo enquanto o projeto é executado e caem rapidamente conforme o projeto é finalizado.estrategiaconcursos. III e IV. (B) I e III. Prof.ORG . enquanto o escritório de projetos atua no treinamento e supervisão da equipe do projeto. enquanto o escritório de projetos gerencia as metodologias.

Gerenciamento da Comunicação. Gerenciamento do Escopo.estrategiaconcursos. Como vocês puderam perceber. Planejamento. d) Monitoramento e Controle. Deixaremos o aprofundamento nos processos para a próxima aula. Execução. e) Gerenciamento do Risco. Victor Dalton www. CONSIDERAÇÕES FINAIS E chegamos ao final desta primeira parte. Execução. b) Gerenciamento da Integração. Gerenciamento do Risco.CONCURSEIROSUNIDOS. Gerenciamento do Custo. os demais grupos estabelecidos são: a) Execução. Monitoramento e Controle.com. Os grupos de processos são: Iniciação Planejamento Execução Monitoramento e Controle Encerramento Resposta certa. Monitoramento e Controle. Execução. à exceção dos grupos de processo Iniciação e Encerramento. alternativa a). daí a importância de assimilá-la bem.ORG . Até lá! Victor Dalton Prof. c) Planejamento. 48ª Questão) (FCC – TRT/MG – Técnico Judiciário – Tecnologia da Informação – 2015) No PMBoK 5a edição.br 56 de 73 WWW.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 Resposta: alternativa c). essa parte inicial do Guia cai bastante em provas.

O termo “temporário” significa que cada projeto tem um começo e um fim bem definidos e o termo “variados” significa que os produtos ou serviços produzidos devem ser os mais diversificados possíveis.br 57 de 73 WWW. e) um empreendimento tanto “cíclico” ou continuado quanto “temporário”. garantindo assim a característica de reaproveitamento de um projeto. garantindo assim a característica de reaproveitamento de um projeto. raramente sobrevive ao projeto. 2ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – 2009 – Tecnologia da Informação) A respeito dos conceitos aplicados aos Projetos. de alguma forma. c) Geralmente. Prof. um projeto pode ser definido como a) um empreendimento “cíclico” ou continuado com o objetivo de criar produtos ou serviços “variados”.CONCURSEIROSUNIDOS. O termo “temporário” significa que cada projeto tem um começo e um fim bem definidos e o termo “único” significa que o produto ou serviço produzido é. e) Os projetos podem criar uma capacidade de realizar um serviço. serviço ou resultado criado pelo projeto. d) Pode ser classificado como projeto aquele que é do tipo de pesquisa que desenvolve um conhecimento. como uma unidade de trabalho. com o objetivo de gerenciar o desenvolvimento de produtos que envolvem mão de obra especializada. o termo "temporário" não se aplica ao produto.ORG . d) um empreendimento “temporário” com o objetivo de criar produtos ou serviços “variados”. b) Um projeto é um esforço contínuo que visa manter um serviço em funcionamento. O termo “cíclico” significa que cada projeto não tem nem começo nem fim definidos e o termo “único” significa que o produto ou serviço produzido é. b) um empreendimento “cíclico” ou continuado com o objetivo de criar um produto ou serviço “único”. diferente de todos os outros produtos ou serviços semelhantes.2005) Segundo o PMBOK. c) um empreendimento “temporário” com o objetivo de criar um produto ou serviço “único”. segundo o PMBOK.com.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 LISTA DE EXERCÍCIOS 1ª Questão) (ESAF – Analista de Finanças e Controle – Tecnologia da Informação . é INCORRETO afirmar: a) A equipe do projeto. de alguma forma. O termo “cíclico” significa que cada projeto não tem nem começo nem fim definidos e o termo “variados” significa que os produtos ou serviços produzidos devem ser os mais diversificados possíveis.estrategiaconcursos. diferente de todos os outros produtos ou serviços semelhantes. Victor Dalton www.

NÃO é uma fase do ciclo de vida de um projeto a) o início. c) portfólio. ajustados para se adaptar a esse preço. é INCORRETO afirmar que a) não existe necessariamente uma relação direta entre o valor cobrado por um sistema e o custo de seu desenvolvimento. d) a execução. então. de projeto e de programa.2011) No tocante à abrangência do escopo.CONCURSEIROSUNIDOS. na sequência do mais reduzido e específico para o mais abrangente e alinhado à estratégia da organização. 6ª Questão) (FCC – ARCE – Analista de Regulação – Analista de Sistemas – 2012) O PMBoK – Project Management Body of Knowledge traz um glossário com termos padronizados que são frequentemente usados em Prof. b) programa. e) a integração. de projeto e de portfólio. d) o preço de um software frequentemente é adequado para se fechar um contrato com o cliente e as funcionalidades oferecidas são. 4ª Questão) (FCC – INFRAERO – Analista de Sistemas – Gestão de TI . ao se preparar a estimativa de custo. de programa e de portfólio. b) o tempo necessário para a finalização de um projeto é sempre proporcional ao número de pessoas alocadas a ele.br 58 de 73 WWW. c) entre os fatores que alteram a produtividade de um software estão o ambiente de trabalho e o processo de desenvolvimento. b) o encerramento. de portfólio e de projeto. e) programa.com. encontram-se os processos de gerenciamento de a) projeto. d) projeto. 5ª Questão) (FCC – TRE/CE – Técnico Judiciário – Operação de Computador .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 3ª Questão) (FCC – TRE/SP – Analista Judiciário – Análise de Sistemas 2012) Sobre gerência de projetos. de portfólio e de programa.ORG .estrategiaconcursos. Victor Dalton www.2012) De acordo com o estabelecido no PMBOK. c) a organização e preparação. e) existem diversas técnicas de estimativa de custos de sistema e. diversas técnicas devem ser utilizadas.

Prof. determinadas pela necessidade de produção e controle da organização. realização de dinâmicas de grupo e de avaliações de produtos em mercados de teste. A última fase do ciclo de vida geralmente é a deterioração e a morte do produto. o sistema de controle de mudanças é um subconjunto do sistema de gerenciamento de configuração. III. o desenvolvimento de um novo produto pode ser um projeto em si. alteradas e aprovadas.com. Na maior parte das áreas de aplicação. existem muitas relações possíveis. sendo que a última fase do ciclo de vida de um produto é a entrega para o cliente final. apenas. considere: I. 7ª Questão) (FCC – TRT/6ª Região – Analista Judiciário – Tecnologia da Informação – 2012) Com relação ao ciclo de vida do produto. Um ciclo de vida pode ser documentado com uma metodologia.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 projetos.br 59 de 73 WWW. II.CONCURSEIROSUNIDOS. d) Ciclo de vida do projeto: conjunto de fases que não se sobrepõem. Vários aspectos do ciclo de vida do produto prestam-se à execução como projetos. e) Validação do escopo: técnica de avaliação de um componente ou produto durante ou no final de uma fase ou projeto para garantir que está de acordo com os requisitos especificados. a condução de pesquisas de mercado. a execução de campanhas publicitárias. Geralmente o ciclo de vida de um projeto está contido em um ou mais ciclos de vida do produto. geralmente em ordem sequencial. b) Sistema de controle de mudanças: conjunto de procedimentos formais e documentados que define como as entregas e a documentação do projeto serão controladas. cujos nomes e quantidades são determinados pelas necessidades de fabricação e controle da organização. Existe uma associação correta entre um termo e sua definição em: a) Ciclo de vida do produto: conjunto de fases. por exemplo. Está correto o que se afirma em a) II e III. geralmente sequenciais e não sobrepostas. geralmente em ordem sequencial. um produto existente pode se beneficiar de um projeto para o acréscimo de novas funções ou características. Ao mesmo tempo. Victor Dalton www. Quando a saída do projeto está relacionada a um produto. cujos nomes e quantidades são determinados pelas necessidades de controle da organização ou organizações envolvidas no projeto. segundo o PMBOK. a instalação de um produto. programas e atividades de gerenciamento. o ciclo de vida do projeto difere do ciclo de vida do produto. a realização de um estudo de viabilidade.estrategiaconcursos. O ciclo de vida do produto consiste em fases do produto.ORG . Por exemplo. c) Validação: processo de formalização da aceitação das entregas do projeto terminadas. Em cada um destes exemplos.

Analista de Suporte .2008) Segundo o PMBOK. e) criar produtos únicos. apenas. II e III. c) Processos de gerenciamento e Processos externos.CONCURSEIROSUNIDOS. apenas. 8ª Questão) (FCC – Prefeitura de São Paulo – Auditor Fiscal Tributário Municipal I (ISS) – Tecnologia da Informação – 2012) Segundo o PMBOK.ORG . 10ª Questão) (ESAF – STN – Desenvolvimento de Sistemas de Informação . b) desenvolver-se em etapas e continuar por incrementos. c) I e III. NÃO é característica de um projeto: a) possuir início e fim definidos. e) III.estrategiaconcursos.2008) O conjunto de atividades necessárias à criação de um serviço exclusivo. apenas. São elas: a) Processos individuais e Processos coletivos. 9ª Questão) (Cesgranrio – BNDES . representa a) uma implementação b) uma operação c) um programa d) um projeto e) uma instrução Prof. até uma data limite. Victor Dalton www. b) Processos e procedimentos e Base de conhecimento corporativa. c) ser contínuo e repetitivo.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 b) I. d) Processos de planejamento e Processos de execução. e) Processos de monitoramento e controle e Processos de encerramento. os ativos de processos organizacionais incluem qualquer um ou todos os ativos relacionados a processos. d) I. d) criar serviços únicos.br 60 de 73 WWW.com. de quaisquer ou todas as organizações envolvidas no projeto que podem ser usados para influenciar o sucesso do projeto. Os ativos de processos organizacionais podem ser agrupados em duas categorias.

13ª Questão) (FMP – ISS/POA – Agente Fiscal da Receita Municipal 2012) Segundo o PMBOK. a governança de projetos oferece um método abrangente e consistente de controle e garantia de sucesso do projeto.Analista Judiciário – Tecnologia de Informação – 2012) Segundo o PMBOK. A governança do projeto deve se restringir às fases isoladas. d) Grupo de ações designados a alcançar um objetivo estratégico abrangente. c) Conjunto de ações cujo resultado. contribui para o atendimento de uma necessidade administrativa ou operacional. c) a organização da governança do projeto deve estabelecer políticas que padronizam todos os projetos. A outra é que a) em projetos com várias fases.estrategiaconcursos. tanto internas quanto externas.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 11ª Questão) (FMP – ISS/POA – Agente Fiscal da Receita Municipal 2012) Qual das alternativas listadas corresponde à definição de projeto.br 61 de 73 WWW. pode ocorrer mais de uma relação entre elas durante o ciclo de vida do projeto.ORG . a governança do projeto deve dividir um projeto em duas fases onde uma equipe diferente pode escolher gerenciar todo o trabalho como uma única fase. d) a governança do projeto deve se adequar ao contexto mais amplo do programa ou da organização patrocinadora. b) Conjunto de indivíduos e organizações envolvidos ou que serão afetados positivamente ou negativamente no resultado final. enquanto a equipe de gerenciamento é encarregada de escolher as políticas mais apropriadas para seu projeto específico. considerando duas restrições que devem ser observadas. qual conceito é expresso com a frase: “Aplicação de Prof.CONCURSEIROSUNIDOS. b) da mesma maneira que o gerenciamento do projeto. 12ª Questão) (FCC – TRT 6ª Região . a fim de determinar os requisitos e as expectativas em relação ao projeto de todas as partes envolvidas. Victor Dalton www.com. de acordo com o PMBOK? a) Desenvolvimento de um produto esperado dentro do prazo e custo esperado. em um dado período. e) a equipe de governança do projeto precisa identificar as partes interessadas. deixando o tratamento das relações com a equipe de gerenciamento do projeto. e) Um esforço temporário com a finalidade de criar um produto/serviço único. Uma das restrições é que a abordagem da governança do projeto deve ser descrita no plano de gerenciamento do projeto.

habilidades. a autoridade do gerente de projeto é de considerável a total. Cliente. b) matricial fraca. Victor Dalton www. Nesse contexto.com. 14ª Questão) (Cesgranrio . pois o tempo é dividido entre as tarefas departamentais e a do projeto. d) matricial forte. Os recursos já alocados não têm dedicação exclusiva. em qual forma de organização o gerente de projetos trabalha? a) matricial forte b) matricial apertada c) funcional d) projetizada e) projetizada compartilhada 15ª Questão) (Cesgranrio – Petrobrás – Analista de Sistemas Júnior – Processos de Negócio . c) matricial balanceada. Considerando o PMBOK. mas está enfrentando dificuldades para designar adequadamente os recursos.ORG . Fornecedores. as estruturas organizacionais influenciam na forma como os projetos são executados. Distribuidores. Gerentes de Departamento. o papel de gerente de projeto é de dedicação parcial. Gerente Executivo. na estrutura organizacional a) funcional. o pessoal administrativo da gerência do projeto trabalha para o mesmo em tempo integral.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 conhecimentos. são stakeholders de um projeto: a) Gerente do Projeto. quem controla o orçamento é o gerente de projeto. a disponibilidade de recurso é de moderada a alta. b) Gerência de projetos. 16ª Questão) (ESAF – Comissão de Valores Mobiliários – Analista de Sistemas – 2010) Segundo o PMBOK. Patrocinador do Projeto.estrategiaconcursos.2011) Segundo o PMBOK 5a Edição. e) Gerência de operações. Prof. e) projetizada. d) Definição de projeto. Diretoria. a) Planejamento estratégico. c) Definição de operações. ferramentas e técnicas às atividades do projeto a fim de alcançar seus objetivos”.br 62 de 73 WWW. devido à sua pouca autoridade.CONCURSEIROSUNIDOS.Eletrobrás – Analista de Sistemas – Engenharia de Software – 2010) Um gerente de projetos está tentando concluir um projeto de desenvolvimento de software.

18 As fases de um projeto são divisões desse projeto. julgue os itens seguintes. Diretoria.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 b) Gerente do Projeto. (CESPE – TCU – Auditor Federal de Controle Externo – Tecnologia da Informação . 19 Na estrutura organizacional funcional clássica. Programa de Treinamento. Mantenedores.2010) Considerando o corpo de conhecimentos em gerenciamento de projetos da 5. Victor Dalton www.br 63 de 73 WWW. Gerentes de Treinamento. Fornecedores. a responsabilidade do PMO é a de fornecer suporte ao gerenciamento de projetos. Distribuidores. geralmente cada fase requer organização e habilidades específicas. Analista do Projeto. Prof. b) Iniciação. Cliente. o orçamento de um projeto é controlado pelo gerente funcional da empresa e não pelo gerente do projeto. por isso. Webmasters. Estratégias. e) Iniciação. Assessoria. Gerentes de Operações. Empresas Concorrentes. sendo que o trabalho em cada uma delas tem foco distinto do de qualquer outra fase e.CONCURSEIROSUNIDOS. c) Planejamento. Fornecedores. Gerente Executivo. Planejamento e Monitoramento e Controle. Otimização e Garantia da Qualidade do Processo. Gerentes de Conta.ª edição do PMBOK. c) Pool de Programação. Entidades Externas.estrategiaconcursos. Secretaria Executiva. Planejamento e Encerramento. Logística. d) Gerente do Projeto. Cliente.com. Patrocinador do Projeto. Servidores. e) Gerente do Projeto. Execução e Crítica. 20 Um gerente de projeto e um escritório de projeto (PMO) são orientados por objetivos diferentes e. d) Otimização. por isso. Coachers. Diretoria. Fornecedores Concorrentes. Gerentes de Contingência. não cabendo a ele o gerenciamento direto de um projeto.ORG . entre os quais: a) Monitoramento e Controle. 17ª Questão) (FCC – TRE/RJ – Analista de Sistemas – 2012) O Project Management Body of Knowledge (PMBoK) é um conjunto de práticas em gerência de projetos que divide o ciclo de vida do projeto em cinco grupos de processos. Crítica e Execução. Controlador do Projeto. Escritório de Projetos.

24 Os processos de execução têm por finalidade.estrategiaconcursos.br 64 de 73 WWW.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 (CESPE – TCE/ES – Auditor de Controle Externo – Tecnologia da Informação . gerenciar pessoas. 26ª Questão) (Formulação pessoal) Não é uma função do Escritório de Projetos (Project Management Office) a) Orientação. 22 Na etapa do ciclo de vida de um projeto que está prestes a ser concluído. Prof. 21 Em uma organização do tipo funcional. desvinculando-se de outros trabalhos do departamento. e) Identificação e desenvolvimento de metodologia. c) Controlar o orçamento da organização. 23 O projeto de lançamento de novo automóvel no mercado é exemplo de uma fase do ciclo de vida desse produto. procedimentos e modelos padrões de gerenciamento de projetos por meio de auditorias do projeto. aconselhamento. melhores práticas e padrões de gerenciamento de projetos.2012) Julgue os itens subsecutivos. Victor Dalton www.CONCURSEIROSUNIDOS. d) Monitoramento da conformidade com as políticas.ORG . a equipe designada para trabalhar em um projeto subordina-se a um gerente de projetos e deve dedicarse apenas ao desenvolvimento do projeto. treinamento e supervisão de gerentes de projetos. entre outros. 25 Todo projeto é temporário.com. tendo uma data de início e uma data de fim definidas. gerenciar as comunicações e controlar as comunicações do projeto com base no plano de gerenciamento do projeto. relativos a gerenciamento de projetos. as mudanças tendem a ser mais onerosas. b) Gerenciamento de recursos compartilhados entre todos os projetos administrados pelo PMO. cumprir processos.

28 Em um projeto em que foi adotada a estrutura organizacional matricial balanceada. (CESPE – BACEN – Analista – Área 2:Infraestrutura de TI .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 (CESPE – ANAC – Analista – Área 4 . ou seja. uma unidade que pode recomendar o cancelamento de projetos. é correto afirmar que. a equipe de projeto tenha encontrado dificuldades para elaborar o termo de abertura do projeto. 30 Considerando-se que. (CESPE – MPOG – Categoria Profissional 7 . priorizar projetos. ao passo que o corpo administrativo exerce suas tarefas em tempo parcial. por meio do plano de gerenciamento de projeto. julgue os itens que se seguem. a equipe não identificou bem os objetivos ou o produto do projeto.2012) 27 O desenvolvimento de um novo software poderá ser conduzido como o gerenciamento de um projeto e as operações poderão ser conduzidas como gerenciamento dos processos do negócio.CONCURSEIROSUNIDOS. para concluir a tarefa. 31 PMO (Project Management Office) é. Esse tipo de plano é iterativo. Victor Dalton www. divide-se o controle do orçamento entre o gerente do projeto e o gerente funcional e tem-se o gerente de projetos em realização de atividades em tempo integral. em uma organização.2013) 29 Em cada projeto. criam-se produtos. 32ª Questão) (FCC – TRT/2ª Região – Analista Judiciário – Tecnologia da Informação 2014) No PMBoK. Um Prof. ajudar a fornecer recursos e fazer parte do comitê de controle de mudanças. realizando-se um agrupamento com vistas a facilitar o gerenciamento desse trabalho e a atingir os objetivos de negócios estratégicos da organização. sendo elaborado progressivamente mediante melhorias contínuas ao longo do ciclo de vida do projeto.ORG . serviços ou resultados exclusivos. os processos de gerenciamento de projetos são agrupados em diversos grupos de processos.ª edição do PMBok.estrategiaconcursos.com. na fabricação de um produto. mesmo que se gerencie o projeto em porta-fólios.br 65 de 73 WWW.2013) A propósito da 5.

33ª Questão) (CETRO – SEMSA/Manaus – Analista de Sistemas – 2012) Quanto ao gerenciamento de projetos. 34ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013 – prova anulada) Em relação à estrutura projetizada. b) vantagem o fato de que especialistas em determinado assunto podem ser utilizados em diferentes projetos. revisar e regular o progresso e o desempenho do projeto. e) execução. c) planejamento. mantém uma autoridade completa sobre o projeto como um todo. deve ser decidido por um nível hierárquico superior. d) Refaz seu cronograma para contornar o empréstimo.br 66 de 73 WWW. b) Ignora o pedido. identificar todas as áreas nas quais serão necessárias mudanças no plano e iniciar as mudanças correspondentes.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 destes grupos contém os processos necessários para acompanhar. d) melhoria continuada do projeto. pois o projeto é de vital importância. se justificável.ORG .com. d) desvantagem o fato de que as comunicações são dificultadas em comparação à estrutura funcional. por um gerente de projeto quando outro gerente de um projeto de vital importância solicita o empréstimo temporário de um colaborador. assinale a alternativa que apresenta a ação correta a ser tomada em. Prof. b) monitoramento e controle. o gerente de projetos. é correto afirmar que ela tem como a) vantagem o fato de que um único indivíduo. c) Faz análise de risco para o seu projeto ao emprestar o colaborador.estrategiaconcursos. e) Aciona os níveis hierárquicos superiores para tomar a decisão. c) vantagem o fato de existir uma grande flexibilidade no uso dos recursos humanos necessários ao projeto.CONCURSEIROSUNIDOS. Victor Dalton www. Este grupo de processo é identificado no Guia PMBoK como Grupo de processos de a) avaliação. a) Cede o colaborador. pois o pedido. e) desvantagem o fato de não existir uma unidade de comando dentro do projeto. primeiro lugar.

a) F/ V/ V/ F b) V/ V/ V/ V c) F/ F/ F/ F d) V/ F/ V/ F e) V/ V/ F/ V Prof.com. c) A construção de uma casa com piscina.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 35ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013 – prova anulada) Roberto foi admitido como gerente de projeto em uma empresa de estrutura matricial. e) Complexa. assinale a alternativa que apresenta a sequência correta. ( ( ( ( ) ) ) ) São realizados por equipes.br 67 de 73 WWW. b) Aberta e exata. marque V para verdadeiro ou F para falso e.estrategiaconcursos. 36ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013 – prova anulada) Assinale a alternativa que não apresenta um componente do resultado de um projeto. a) De fácil gerência. Victor Dalton www. b) O desenvolvimento de um novo serviço. em seguida.CONCURSEIROSUNIDOS.ORG . Terminam quando o objetivo é alcançado. 37ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013 – prova anulada) Em relação a projetos. d) Sem conflitos. Possuem data para terminar. a) A manutenção de um produto. d) A implantação de novo procedimento. Os custos envolvidos são monitorados pela gerência executiva. c) Simples. e) A implantação de um novo processo de negócio. Assinale a alternativa que apresenta a expectativa de Roberto quanto à comunicação.

( ) Um projeto pode ou não fazer parte de um programa. É de sua competência o desenvolvimento de procedimentos a serem seguidos no desenvolvimento dos projetos. d) Processos de Monitoramento e Controle. b) Processos de Planejamento.ORG . assinale a alternativa que apresenta a sequência correta. Ele pode realizar fechamento de projeto. apenas. ( ) Não pode incluir elementos de trabalho relacionados fora do escopo de projetos distintos no programa. ( ) Concentra-se nas interdependências do projeto e ajuda a determinar a melhor abordagem para gerenciá-lo. c) I e III. em seguida.estrategiaconcursos. b) I e II.CONCURSEIROSUNIDOS. marque V para verdadeiro ou F para falso e.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 38ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013 – prova anulada) Em relação ao escritório de projetos. a) Processos de Iniciação. É correto o que se afirma em a) I. 40ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013) Quanto aos conceitos de gestão de programas. mas um programa sempre terá projetos. d) II e III. apenas. II. analise as assertivas abaixo.com. e) Processos Facilitadores. II e III. apenas. III. c) Processos de Fechamento. Não é sua função o treinamento de equipes de trabalho quanto aos procedimentos a serem seguidos. 39ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013 – prova anulada) Assinale a alternativa que apresenta uma classificação de processos de gerenciamento de projetos que não é mais recomendada. Prof. Victor Dalton www. I. e) I.br 68 de 73 WWW. apenas.

ORG . Controla os recursos atribuídos ao projeto para atender da melhor forma possível aos seus objetivos. apenas. apenas. as metodologias. apenas b) II. e) I. tecnologia ou recurso compartilhado.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 ( ) Se a relação entre projetos for somente a de um cliente. Gerencia as restrições de escopo. o esforço deve ser gerenciado como um programa e não como um portfólio de projetos. a) V/ F/ F/ V b) V/ F/ V/ F c) F/ V/ F/ V d) F/ V/ V/ F e) V/ V/ F/ V 41ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013) Quanto ao escritório de projetos.estrategiaconcursos. d) II e III. analise as assertivas abaixo. II. Victor Dalton www. II e III. apenas. os padrões e o risco/ oportunidade global e as interdependências entre os projetos no nível da empresa. c) III. custo e qualidade dos projetos individuais. É correto o que se afirma em: a) I. 42ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013) Assinale a alternativa que apresenta uma análise correta do ciclo de vida de um projeto.CONCURSEIROSUNIDOS. Prof. a) Os níveis de custo e de pessoal são altos no início do projeto e caem ao longo do projeto. I. cronograma. Gerencia as principais mudanças do escopo do programa que podem ser vistas como possíveis oportunidades para melhor alcançar os objetivos de negócios.com. III. b) A influência das partes interessadas é menor durante o início do projeto e cresce ao longo de sua vida.br 69 de 73 WWW. vendedor.

serviço ou resultado exclusivo. O término é alcançado quando os objetivos tiverem sido atingidos ou quando se concluir que esses objetivos não serão ou não poderão ser atingidos e o projeto for encerrado. suporte.TRT 16ª Região – Analista Judiciário – Informática – 2014) É uma entidade ou corpo organizacional à qual são atribuídas várias responsabilidades relacionadas ao gerenciamento centralizado e coordenado dos projetos sob seu domínio. De acordo com o PMBOK. (D) projeto.estrategiaconcursos.ORG . como políticas. orientação e treinamento em relação a como gerenciar projetos e usar as ferramentas etc. conforme o projeto progride para o seu término. (C) Gerência de Tecnologia da Informação. o texto acima é definição de (A) estimativa.com. (B) serviço. ou quando o mesmo não for mais necessário. treinamento. Pode oferecer serviços de suporte administrativo. d) Os custos das mudanças e correções de erros geralmente diminuem significativamente conforme o projeto se aproxima do término. (B) Fábrica de projetos. aconselhamento e orientação de gerentes de projetos. pode ser considerada uma parte interessada. 43ª Questão) (FCC – TRT 3ª Região – Analista Judiciário – Informática – 2014) É um esforço temporário empreendido para criar um produto. (C) planejamento. Victor Dalton www. A entidade organizacional definida no texto acima é conhecida como: (A) Gerência de portfólio de projetos.br 70 de 73 WWW. Possui responsabilidades que podem variar desde o fornecimento de funções de apoio ao gerenciamento de projetos até a responsabilidade real pelo gerenciamento direto de um projeto. é mais alta no início e tornase cada vez menor. (E) processo.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 c) A capacidade de influenciar as características finais do produto do projeto. Se tiver responsabilidade direta ou indireta pelo resultado do projeto.CONCURSEIROSUNIDOS. Prof. A sua natureza temporária indica um início e um término definidos. sem impacto significativo sobre os custos. metodologias e modelos. 44ª Questão) (FCC . e) As incertezas são menores durante o início do projeto e aumentam ao longo da vida do projeto.

os riscos e as incertezas são maiores durante o início do projeto.com. Considerando o ciclo de vida do projeto e as informações do gráfico. (C) A influência dos stakeholders. atingem um valor máximo enquanto o projeto é executado e caem rapidamente conforme o projeto é finalizado.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 (D) Incubadora de projetos. (D) A capacidade de influenciar as características finais do produto do projeto. 45ª Questão) (FCC – TRT 2ª Região – Técnico Judiciário – Tecnologia da Informação – 2014) De acordo com o guia PMBoK. é mais alta no início e tornase cada vez menor conforme o projeto progride para o seu término. Prof.estrategiaconcursos. a estrutura genérica do ciclo de vida de projeto apresenta algumas características. Estes fatores caem ao longo da vida do projeto. dentre as quais estão as apresentadas no gráfico abaixo. (B) As curvas representadas pelos custos de mudanças e influência dos stakeholders. é INCORRETO afirmar: (A) Os níveis de custo e de pessoal são baixos no início. que permeia todo o ciclo de vida do projeto. Victor Dalton www. riscos e incertezas são diretamente proporcionais devido às dificuldades da etapa de elicitação de requisitos.br 71 de 73 WWW.CONCURSEIROSUNIDOS.ORG . (E) Escritório de projetos. sem impacto significativo sobre os custos.

(E) aumentam de forma linear. custo. (D) são estáveis. o risco/oportunidade global e as interdependências entre os projetos no nível da empresa. 47ª Questão) (FCC – TCM/GO – Auditor de Controle Externo – Informática – 2015) Com relação às atribuições de um Gerente de Projetos e de um escritório de projetos. quando há plena execução de tarefas planejadas do desenvolvimento do produto. O Gerente de Projetos concentra-se nos objetivos especificados do projeto. O Gerente de Projetos tem como função principal dar suporte ao escritório de projetos por meio do gerenciamento de recursos compartilhados entre todos os projetos. enquanto o escritório de projetos otimiza o uso dos recursos organizacionais compartilhados entre todos os projetos. quando ocorre todo o esforço de planejamento. (C) são maiores no momento inicial do projeto.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 (E) Os custos das mudanças e correções de erros geralmente aumentam significativamente conforme o projeto se aproxima do término. do início até o término do projeto. considere: I. O Gerente de Projetos controla os recursos atribuídos ao projeto para atender da melhor forma possível aos objetivos do projeto. enquanto o escritório de projetos atua no treinamento e supervisão da equipe do projeto. qualidade etc. em função da liberação das pessoas que já cumpriram suas atividades. incluindo o gerente. enquanto o escritório de projetos gerencia as metodologias. padrões. Victor Dalton www.CONCURSEIROSUNIDOS. Prof.estrategiaconcursos.br 72 de 73 WWW.) dos projetos individuais. do início até o término do projeto. II. não havendo oscilações significativas ao longo do tempo e do ciclo de vida do projeto. III.com. enquanto o escritório de projetos gerencia as principais mudanças do escopo do programa que podem ser vistas como possíveis oportunidades para melhor alcançar os objetivos de negócios. IV. (B) são mais elevados em fases intermediárias do projeto.ORG . 46ª Questão) (FCC – TCE/RS – Auditor Público Externo – Técnico em Processamento de Dados – 2014) Segundo o PMBoK v5. os custos da equipe de projetos (A) diminuem de forma linear. cronograma. em função da equipe receber cada vez mais integrantes conforme vai surgindo necessidade de novos conhecimentos e habilidades. O Gerente de Projetos gerencia as restrições (escopo.

(E) III e IV.b 12.d 14. Monitoramento e Controle. Planejamento. b) Gerenciamento da Integração.c 35.c 43.e 27.d 22.estrategiaconcursos.d 25.e 40.e 34.d 4.e 10. Gerenciamento do Custo.d 20.b 16.a 46. Gerenciamento da Comunicação.b . (B) I e III.b 23. Victor Dalton www. c) Planejamento.e 30.c 3.ORG 9.br 73 de 73 WWW.b 13.a Prof.e 31.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 00 Segundo o Guia PMBoK. d) Monitoramento e Controle.c 39.e 5. (D) II e III.c 24.c 8. Execução.b 18.a 17.e 15. e) Gerenciamento do Risco.c 41.e 21.a 44.c 19. Execução. as diferenças entre o papel do gerente de projetos e de um escritório de projetos incluem o que consta APENAS em (A) II e IV.com. à exceção dos grupos de processo Iniciação e Encerramento.c 28. (C) I.b 2.c 37.b 6.b 47.e 45. os demais grupos estabelecidos são: a) Execução. Monitoramento e Controle. GABARITO 1. Execução.c 11.c 38.a 26.c 32. Gerenciamento do Risco. III e IV.c 29.CONCURSEIROSUNIDOS.c 36.c 33. Gerenciamento do Escopo.b 7.b 42.b 48. 48ª Questão) (FCC – TRT/MG – Técnico Judiciário – Tecnologia da Informação – 2015) No PMBoK 5a edição.

ORG .Concurseiros Unidos Maior RATEIO da Internet WWW.CONCURSEIROSUNIDOS.

2016 (Gestão Tributária) Professor: Victor Dalton WWW.CONCURSEIROSUNIDOS.Concurseiros Unidos Maior RATEIO da Internet Aula 01 Tecnologia da Informação p/ ICMS/SP .ORG .

com.ORG .2 Interações entre grupos de processos 2. Victor Dalton www.CONCURSEIROSUNIDOS. atualiza e consolida a legislação sobre direitos autorais e dá outras providências. Valorize o trabalho de nossa equipe adquirindo os cursos honestamente através do site Estratégia Concursos . Processos de Gerenciamento de Projetos 2.1 Grupos de Processos 2.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 AULA 01: PMBOK 5ª edição – Processos do PMBOK SUMÁRIO PÁGINA Introdução 2.-) Prof. avancemos nos grupos de processos e áreas de conhecimento.estrategiaconcursos.br 1 de 78 WWW. nos termos da Lei 9. Grupos de rateio e pirataria são clandestinos.5 Método do Caminho Crítico 2.3 Áreas de conhecimento 2. que altera. Só a aprovação nos interessa! Observação importante: este curso é protegido por direitos autorais (copyright).610/98. Não há tempo a perder.6 Estimativa de três pontos Exercícios Comentados Considerações Finais Exercícios Gabarito 1 2 2 3 14 18 22 24 26 58 59 78 E estamos de volta! Finalizando a parte de Gerenciamento de Projetos. violam a lei e prejudicam os professores que elaboram os cursos.4 Um processo do PMBOK: Criar a EAP 2.

2. PROCESSOS DE GERENCIAMENTO DE PROJETOS Gerenciar projetos é aplicar conhecimentos. naturalmente. Se ainda não foi designado. dependendo do porte do projeto. consiste nos processos realizados para executar o trabalho definido no plano de gerenciamento do projeto de forma a cumprir as especificações do projeto. por sua vez.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 PMBOK . custos e qualidade esperados. Victor Dalton www. Este grupo de processos envolve coordenar pessoas e recursos e também integrar e executar as atividades do projeto em conformidade com o plano de gerenciamento do mesmo.estrategiaconcursos. Esses processos. Quando o termo de abertura do projeto é aprovado.ORG . Estas informações são capturadas no termo de abertura do projeto e no registro das partes interessadas. o escopo inicial é definido e os recursos financeiros iniciais são comprometidos. habilidades. definir e refinar os objetivos e desenvolver o curso de ação necessário para alcançar esses objetivos. obtendo autorização para tal. ferramentas e técnicas à atividade de projeto.com. Nos processos de iniciação. a saber: O Grupo de Processos de Iniciação consiste nos processos realizados para definir um novo projeto ou uma nova fase de um projeto existente.continuação 2. o gerente de projetos será selecionado. As partes interessadas internas e externas que vão interagir e influenciar o resultado geral do projeto são identificadas.1 GRUPOS DE PROCESSOS O PMBOK organiza os seus processos em grupos de processos. dentro do escopo.CONCURSEIROSUNIDOS. O PMBOK organiza esse arcabouço de conhecimentos em 47 processos. Já o Grupo de Processos de Planejamento consiste nos processos realizados para estabelecer o escopo total do esforço. Além disso. nem todos os 47 processos poderão ser empregados.br 2 de 78 WWW. tempo. Prof. serão influenciados pelos ativos de processos organizacionais e os fatores ambientais da empresa. o projeto se torna oficialmente autorizado. O Grupo de Processos de Execução. de modo que ele cumpra os seus requisitos. Os processos de planejamento desenvolvem o plano de gerenciamento e os documentos do projeto que serão usados para executá-lo.

Dica do professor: jamais se esqueça dessa classificação! Perguntas triviais sobre gestão de projetos sempre passam pelos grupos de processos.br 3 de 78 WWW. identificar todas as áreas nas quais serão necessárias mudanças no plano e iniciar as mudanças correspondentes.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 O Grupo de Processos de Monitoramento e Controle consiste nos processos necessários para acompanhar. O principal benefício deste grupo de processos é que o desempenho do projeto é observado e mensurado de forma periódica e uniforme para identificar variações em relação ao plano de gerenciamento do mesmo. que serão apresentados adiante (não fique ansioso!).CONCURSEIROSUNIDOS. para não esquecer! Iniciação Planejamento Execução Monitoramento e Controle Encerramento 2. Entretanto. Mais uma vez. ou obrigações contratuais. quando concluído. de todos os grupos de processos de gerenciamento do projeto.com. verifica se os processos definidos estão completos em todos os grupos de processos para encerrar o projeto ou uma fase do projeto. da forma apropriada e definir formalmente que o projeto ou a fase do projeto estão concluídos. a própria bibliografia reconhece que esses processos se sobrepõem e interagem de diferentes formas. o Grupo de Processos de Encerramento consiste nos processos executados para finalizar todas as atividades. Veja algumas figuras que ilustram isso: Prof. atividades estanques. Por fim. revisar e regular o progresso e o desempenho do projeto. Victor Dalton www.estrategiaconcursos. serão apresentados como elementos distintos. visando completar formalmente o projeto ou a fase.2 INTERAÇÕES ENTRE GRUPOS DE PROCESSOS Os processos.ORG . Este grupo de processos.

com.CONCURSEIROSUNIDOS.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Prof. Victor Dalton www.br 4 de 78 WWW.ORG .estrategiaconcursos.

acima. Essa explicação pode lhe deixar um pouco “solto”. Victor Dalton www.com.estrategiaconcursos. Não há motivo para preocupações. os grupos de processos se repetirem por diversas vezes. pode fazê-lo pensar que os grupos de processos são executados uma única vez do início ao término do projeto.CONCURSEIROSUNIDOS. Recomendo uma nova passagem por esse capítulo depois que você ler sobre os processos do PMBOK.ORG . Entretanto. e nessas fases. pois já estamos falando de processos. lembra-se que eu falei sobre não confundir ciclo de vida de projeto com grupos de processos? A última imagem. Ainda. veremos que as saídas produzidas pelos processos poderão servir como entradas para vários outros processos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Além disso. sem tê-los visto ainda.br 5 de 78 WWW. tudo bem? Ciclo de vida de projeto e grupos de processos. Prof. destaco que um projeto pode ter várias fases.

é importante desde já familiarizarse com os processos e suas descrições.estrategiaconcursos. esta abordagem será realizada mais à frente.br 6 de 78 WWW. Já adianto que é uma leitura um pouco cansativa.ORG . Uma figura pertence ao site GPMUNDO. e a outra vem do próprio Guia do PMBOK. em seus respectivos grupos. eu recomendo que você imprima as duas próximas páginas. Não se preocupe com as áreas de conhecimento ainda. por grupos de processos e áreas de conhecimento. bem como o entendimento global desse assunto.CONCURSEIROSUNIDOS. Fazer isso pode E MUITO ajudar a sua memorização dos processos. Victor Dalton www.com. DICA DO PROFESSOR: Desde já. que contêm estes processos de forma ilustrada. Prof. Contudo.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Falemos agora dos processos.

Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Prof.estrategiaconcursos. Victor Dalton www.br 7 de 78 WWW.com.CONCURSEIROSUNIDOS.ORG .

com.estrategiaconcursos.br 8 de 78 WWW.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Prof. Victor Dalton www.ORG .CONCURSEIROSUNIDOS.

bem como encerrado. integrar e coordenar todos os planos auxiliares em um plano de gerenciamento do projeto. em um projeto com várias fases.estrategiaconcursos. com 24 processos. bem como aloca recursos. Este termo designa um gerente para o projeto. O início formal do projeto se dá com a divulgação do termo de abertura do projeto. executado.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 INICIAÇÃO Este grupo consiste nos processos realizados para definir um novo projeto ou uma nova fase de um projeto existente.ORG . eles são muito cobrados em provas. definir e refinar os objetivos e desenvolver o curso de ação necessário para alcançar esses objetivos. O plano de gerenciamento do projeto se torna a principal fonte de informações de como o projeto será planejado. Victor Dalton www.com. A elaboração desse termo de abertura liga o projeto ao trabalho em andamento da organização e autoriza o seu desenvolvimento. monitorado e controlado. São eles: Desenvolver o plano de gerenciamento do projeto: Definir. obtendo autorização para tal. Os processos que pertencem à esse grupo são: Desenvolver o termo de abertura do projeto: Este processo trata principalmente da autorização do projeto ou. preparar. envolvimento ou impacto no sucesso do projeto. É o processo necessário para documentação das necessidades de negócios e do novo produto. Prof.CONCURSEIROSUNIDOS. Identificar as partes interessadas: Este processo identifica pessoas e organizações que podem ser afetadas pelo projeto e de documentação das informações relevantes relacionadas aos seus interesses. PLANEJAMENTO O grupo de planejamento consiste nos processos realizados para estabelecer o escopo total do esforço. *Dica: preste atenção nesses dois processos. de uma fase do projeto. É a primeira atividade a ser desempenhada. É o grupo mais extenso. serviço ou outro resultado que deve satisfazer esses requisitos.br 9 de 78 WWW.

do produto. Estimar as durações das atividades: Estimar o número de períodos de trabalho que serão necessários para terminar atividades do cronograma com os recursos definidos. gerenciamento. Victor Dalton www. Criar a Estrutura Analítica do Projeto (EAP): Subdividir as principais entregas do projeto e do trabalho do projeto em componentes menores e mais facilmente gerenciáveis. Planejar o gerenciamento do cronograma: Estabelecer as políticas. equipamentos ou suprimentos que serão necessários para realizar cada atividade do cronograma. os limites. Estimar os recursos das atividades: Estimar o tipo e as quantidades de materiais. os procedimentos e a documentação para o planejamento. Prof.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Planejar o gerenciamento do escopo: Criar um plano de gerenciamento do escopo do projeto que documenta como tal escopo será definido. Definir as atividades: Identificar as atividades específicas que precisam ser realizadas para produzir as várias entregas do projeto. pessoas. Sequenciar as atividades: Identificar e documentar relacionamentos e dependências entre as atividades do cronograma. Planejar o gerenciamento dos custos: estabelecer as políticas. Coletar os requisitos: Definir e documentar as necessidades das partes interessadas para alcançar os objetivos do projeto.com. Desenvolver o cronograma: Analisar os recursos necessários. despesas e controle dos custos do projeto. restrições do cronograma. Definir o escopo: Desenvolver uma declaração detalhada do projeto e do produto.br 10 de 78 WWW. desenvolvimento. validado e controlado.CONCURSEIROSUNIDOS. gestão. os procedimentos e a documentação para o planejamento. métodos de aceitação e o controle de alto nível do escopo. ele é muito cobrado em provas. *Dica: preste atenção desde já nesse processo.ORG . Este processo aborda e documenta os requisitos do projeto e da entrega.estrategiaconcursos. durações e sequências de atividades para criar o cronograma do projeto. execução e controle do cronograma do projeto.

Planejar o gerenciamento da qualidade: Identificar os requisitos e/ou padrões da qualidade do projeto e suas entregas.br 11 de 78 WWW. o impacto correspondente nos objetivos do projeto se os riscos realmente ocorrerem. escopo e qualidade do projeto. habilidades e relações hierárquicas do projeto. Realizar a análise qualitativa de riscos: Avaliar a prioridade dos riscos identificados usando a probabilidade deles ocorrerem. responsabilidades. Planejar o gerenciamento de riscos: Decidir como abordar. Planejar o gerenciamento das comunicações: Desenvolver uma abordagem apropriada e um plano de comunicações do projeto com base nas necessidades de informação e requisitos das partes interessadas.CONCURSEIROSUNIDOS. *Dica: saiba diferenciar a análise qualitativa da quantitativa! Planejar respostas a riscos: Desenvolver opções e ações para aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto. Realizar a análise quantitativa de riscos: Analisar o efeito dos principais eventos de riscos identificados na análise qualitativa de riscos e pode ser usada para atribuir uma classificação numérica a esses riscos individualmente ou para avaliar o efeito agregado de todos os riscos que afetam o projeto.ORG .com.estrategiaconcursos. como o prazo e tolerância a risco das restrições de custo. Identificar os riscos: Determinar os riscos que podem afetar o projeto e documentar suas características. planejar e executar as atividades de gerenciamento de riscos de um projeto. além de outros fatores. Planejar o gerenciamento dos recursos humanos: Identificar e documentar funções. e nos ativos organizacionais disponíveis. Prof. cronograma. além de criar o plano de gerenciamento de pessoal. Determinar o orçamento: Este é o processo necessário para agregar os custos estimados de atividades individuais ou pacotes de trabalho para estabelecer uma linha de base dos custos autorizados. além da documentação de como o projeto demonstrará a conformidade com os requisitos e/ou padrões de qualidade.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Estimar os custos: Este é o processo necessário para desenvolver uma aproximação dos custos dos recursos monetários necessários para terminar as atividades do projeto. Victor Dalton www.

Gerenciar o engajamento (nível de comprometimento) das partes interessadas: Gerenciar a comunicação a fim de satisfazer os requisitos das partes interessadas no projeto e resolver problemas com elas. Realizar a garantia da qualidade: O processo de auditoria dos requisitos de qualidade e dos resultados das medições do controle de qualidade para garantir o uso dos padrões de qualidade e das definições operacionais apropriadas. com base na análise das suas necessidades.CONCURSEIROSUNIDOS. distribuir. armazenar. coletar.br 12 de 78 WWW. Desenvolver a equipe do projeto: Melhorar as competências e a interação de membros da equipe para aprimorar o desempenho do projeto. Mobilizar a equipe do projeto: Confirmar a disponibilidade e obter os recursos humanos necessários para terminar o projeto.com. fornecer feedback. interesses. consiste nos processos realizados para executar o trabalho definido no plano de gerenciamento do projeto de forma a cumprir as especificações do projeto.estrategiaconcursos.ORG . resolver problemas e coordenar mudanças para melhorar o desempenho do projeto. por sua vez. Gerenciar as comunicações: Criar.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Planejar o gerenciamento das aquisições: Este é o processo necessário para determinar o que comprar ou adquirir. Prof. e impacto potencial no sucesso do projeto. quando e como fazer isso. Planejar o gerenciamento das partes interessadas: desenvolver estratégias apropriadas de gerenciamento para engajar as partes interessadas de maneira eficaz no decorrer de todo o ciclo de vida do projeto. recuperar e de disposição final das informações do projeto de acordo com o plano de gerenciamento das comunicações. EXECUÇÃO A execução. estabelecer fornecedores. Gerenciar a equipe do projeto: Acompanhar o desempenho de membros da equipe. Pertencem a esse grupo os processos: Orientar e gerenciar o trabalho do projeto: Liderar e realizar o trabalho definido no plano de gerenciamento do projeto e a implementação das mudanças aprovadas para atingir os objetivos do projeto. Victor Dalton www.

Monitorar e controlar o trabalho do projeto: Coletar. executar planos de respostas a riscos e avaliar sua eficiência durante todo o ciclo de vida do projeto.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Conduzir aquisições: Este é o processo necessário para obter respostas informações. Victor Dalton www. revisar ofertas. Controlar os riscos: Acompanhar os riscos identificados.CONCURSEIROSUNIDOS.br 13 de 78 WWW. avaliar as medições e as tendências para efetuar melhorias no processo. Prof. Controlar a qualidade: Monitorar resultados específicos do projeto a fim de determinar se eles estão de acordo com os padrões relevantes de qualidade e identificar maneiras de eliminar as causas de um desempenho insatisfatório. identificar novos riscos. ofertas ou propostas dos fornecedores.estrategiaconcursos. identificar todas as áreas nas quais serão necessárias mudanças no plano e iniciar as mudanças correspondentes. Controlar as comunicações: Monitorar e controlar as comunicações no decorrer de todo o ciclo de vida do projeto para assegurar que as necessidades de informação das partes interessadas do projeto sejam atendidas. cotações. escolher e negociar até adjudicar um contrato com o fornecedor. Validar o escopo: Formalizar a aceitação das entregas do projeto terminadas. atualização e manutenção da linha de base. medir e disseminar informações sobre o desempenho. Controlar os custos: O processo de influenciar os fatores que criam as variações e controlar as mudanças no orçamento do projeto. Realizar o controle integrado de mudanças: Controlar os fatores que criam mudanças para garantir que essas mudanças sejam benéficas.ORG . revisar e regular o progresso e o desempenho do projeto. licitações. MONITORAMENTO E CONTROLE O Grupo de Processos de Monitoramento e Controle consiste nos processos necessários para acompanhar. Controlar o escopo: Controlar as mudanças feitas no escopo do projeto. determinar se elas ocorreram e gerenciar as aprovadas. Controlar o cronograma: Controlar as mudanças feitas no cronograma. monitorar os residuais.com.

ORG .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Controlar as aquisições: Gerenciar o contrato e a relação entre o comprador e o fornecedor. Victor Dalton www. Um exemplo simples: os processos Estimar os Custos. quando adequado. Encerrar as aquisições: Terminar e liquidar cada contrato. Encerrar o projeto ou fase: Finalizar todas as atividades em todos os grupos de processos para encerrar formalmente o projeto ou uma fase do projeto. gerenciar a relação contratual com o comprador externo do projeto. Controlar o engajamento (nível de comprometimento) das partes interessadas: monitorar os relacionamentos das partes interessadas do projeto em geral. analisar e documentar o desempenho atual ou passado de um fornecedor e.estrategiaconcursos. visando completar formalmente o projeto ou a fase. e ajustar as estratégias e planos para o engajamento das partes interessadas. Contudo.CONCURSEIROSUNIDOS. Ficou entendido? Então vejamos as áreas em questão: Prof.3 ÁREAS DE CONHECIMENTO As Áreas de Conhecimento do Gerenciamento de Projetos congregam os processos que possuem características comuns. 2.br 14 de 78 WWW. e encerrar cada contrato aplicável ao projeto ou a uma de suas fases. todos pertencem à Área de Conhecimento de Gerenciamento dos Custos do Projeto. ou obrigações contratuais.com. Determinar o Orçamento e Controlar os Custos pertencem a grupos de processos diferentes (Estimar os Custos e Determinar o Orçamento fazem parte do Planejamento. inclusive a resolução de quaisquer itens em aberto. de todos os grupos de processos de gerenciamento do projeto. o Grupo de Processos de Encerramento consiste nos processos executados para finalizar todas as atividades. enquanto Controlar os Custos pertence ao Monitoramento e Controle). ENCERRAMENTO Por fim.

Os objetivos do gerenciamento dos riscos são aumentar a probabilidade e o impacto dos eventos positivos e reduzir a probabilidade e o impacto dos eventos negativos no projeto. O gerenciamento dos riscos do projeto inclui os processos de planejamento. planejamento de respostas.CONCURSEIROSUNIDOS. de modo que o projeto satisfaça às necessidades para as quais foi empreendido. grupos ou organizações que podem impactar ou serem impactados pelo projeto.estrategiaconcursos. distribuídas. O gerenciamento das partes interessadas do projeto inclui os processos exigidos para identificar todas as pessoas. O gerenciamento do tempo do projeto inclui os processos necessários para gerenciar o término pontual do projeto. coletadas. analisar as expectativas das partes interessadas e seu impacto no projeto. e apenas o necessário. combinar. O gerenciamento da qualidade do projeto inclui os processos e as atividades da organização executora que determinam as políticas de qualidade. de modo que o projeto possa ser terminado dentro do orçamento aprovado. A organização pode ser tanto o comprador como o vendedor dos produtos. serviços ou resultados externos à equipe do projeto. unificar e coordenar os vários processos e atividades dos grupos de processos de gerenciamento.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 O gerenciamento da integração do projeto inclui os processos e as atividades necessárias para identificar. O gerenciamento do escopo do projeto inclui os processos necessários para assegurar que o projeto inclui todo o trabalho necessário.br 15 de 78 WWW. Esse gerenciamento está relacionado principalmente com a definição e controle do que está e do que não está incluso no projeto. O gerenciamento das aquisições do projeto inclui os processos necessários para comprar ou adquirir produtos. Victor Dalton www. os objetivos e as responsabilidades. O gerenciamento dos recursos humanos do projeto inclui os processos que organizam e gerenciam a equipe do projeto. recuperadas e organizadas de maneira oportuna e apropriada. armazenadas.ORG . e desenvolver estratégias de Prof. O gerenciamento dos custos do projeto inclui os processos envolvidos em estimativas.com. monitoramento e controle de riscos de um projeto. serviços ou resultados de um projeto. orçamentos e controle dos custos. análise. O gerenciamento das comunicações do projeto inclui os processos necessários para assegurar que as informações do projeto sejam geradas. definir. para terminar o projeto com sucesso. identificação.

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01
gerenciamento apropriadas para o engajamento eficaz das partes interessadas
nas decisões e execução do projeto.

Dica do professor:

ressalto a importância de tentar
corresponder os processos às suas respectivas áreas de
conhecimento. Para algumas áreas, como Riscos,
Aquisições e Qualidade, o trabalho é um pouco facilitado,
dadas às semelhanças dos nomes dos processos. Para a
área de Integração, por outro lado, essa memorização
pode ser dificultada. Daí a importância de ler o nome do
processo e sua descrição, pois o entendimento pode
diminuir essa dificuldade. Concorda?
Você já conhece os nomes dos
descrições. Releia se necessário.

processos

e

suas

1) (FCC – TRT/18ª Região – Analista Judiciário – Tecnologia da
Informação - 2013) No PMBOK, são, respectivamente, um processo do grupo
de processos de Planejamento, um de Execução e outro de Monitoramento e
Controle
a) estimar as durações das atividades − controlar a qualidade − controlar as
aquisições.
b) gerenciar a equipe do projeto − validar o escopo − estimar os recursos das
atividades.
c) identificar as partes interessadas − determinar o orçamento − validar o
escopo.
d) controlar as aquisições − controlar o escopo − realizar a análise qualitativa de
riscos.
e) realizar a análise quantitativa de riscos − conduzir aquisições – controlar as
comunicações.
Esta é a questão “típica” de PMBOK. Ou ela envolve o exercício mental de
conhecer processos e grupos de processo, ou processos e área de conhecimento,
ou os três ao mesmo tempo. Analisemos:
Estimar as durações das atividades – Planejamento
Realizar o controle de qualidade – Monitoramento e Controle
Controlar as aquisições – Monitoramento e Controle
Gerenciar a equipe do projeto – Execução
Validar o escopo − Monitoramento e Controle
Prof. Victor Dalton

www.estrategiaconcursos.com.br

16 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01
Estimar os recursos das atividades – Planejamento
Identificar as partes interessadas – Iniciação
Determinar o orçamento – Planejamento
Validar o escopo – Monitoramento e Controle
Controlar as aquisições – Monitoramento e Controle
Controlar o escopo – Monitoramento e Controle
Realizar a análise qualitativa de riscos – Planejamento
Realizar a análise quantitativa de riscos – Planejamento
Conduzir aquisições – Execução
Controlar as comunicações – Monitoramento e Controle
Portanto, a alternativa e) é a nossa resposta certa.

2) (FCC – TRT/18ª Região – Analista Judiciário – Tecnologia da
Informação - 2013) É um capítulo do PMBOK 4a edição que inclui processos,
tais como: Coletar requisitos e Criar EAP, entre outros. Trata-se do
Gerenciamento
a) das comunicações do projeto.
b) de integração do projeto.
c) de custos do projeto.
d) do escopo do projeto.
e) da qualidade do projeto.
Saber de cor os seis processos da área de conhecimento do escopo é obrigação!
A saber:
Planejar o gerenciamento do escopo
Coletar requisitos
Definir o escopo
Criar a EAP
Validar o Escopo
Controlar o Escopo
Costumo falar que a área de conhecimento de Escopo é a que mais cai em
provas.
Resposta certa: alternativa d).

Prof. Victor Dalton

www.estrategiaconcursos.com.br

17 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01
2.4 UM PROCESSO DO PMBOK: CRIAR A EAP

Nesse momento, este material poderá fazer a diferença para o seu
aprendizado.
Um processo do PMBOK pode ser materializado por um conjunto de
entradas, técnicas e ferramentas, e saídas. Teoricamente, estudar o PMBOK
envolveria estudar os 47 processos a fundo, decorando as entradas, técnicas e
ferramentas e saídas de cada um dos 47 processos. Entretanto, você já deve ter
percebido que já é difícil assimilar apenas a descrição sucinta de cada um desses
processos, imagina decorar isso tudo! Não estamos aqui para sermos doutores
em PMBOK, e sim acertar questões de PMBOK na prova.
Estatisticamente, 80 a 90% das questões de concurso do PMBOK passam
por aquilo que já vimos até agora, que é cerca de 20% do PMBOK. Em provas
com 5, 6 questões de PMBOK, sempre cai uma ou outra perguntando qual a
técnica, entrada ou saída de um processo qualquer. Definitivamente, não
compensa estudar outros 80% do PMBOK, correndo o risco de não decorar as
entradas, saídas, técnicas e ferramentas (confie em mim, é loucura), para
ganhar uma questão a mais de prova, caso ela possua várias questões de
PMBOK.
Portanto, iremos descrever a fundo apenas um processo, o Criar a EAP,
cuja descrição sucinta cai muito em prova. Entendendo a estrutura geral de um
processo, você poderá estudar os outros 46, se quiser, diretamente do Guia do
PMBOK, o que eu não recomendo.

Vem comigo?

Criar a EAP é um processo realizado na fase de Planejamento do Projeto,
pertence à área de conhecimento de Escopo.

Sua criação é o processo de subdivisão das entregas e do trabalho do
projeto em componentes menores e de gerenciamento mais fácil. A
Estrutura Analítica do Projeto, também conhecida como Work Breakdown
Structure, é uma decomposição hierárquica orientada às entregas do trabalho a
ser executado pela equipe para atingir os objetivos do projeto e criar as
entregas requisitadas, sendo que cada nível descendente da EAP representa uma
definição gradualmente mais detalhada da definição do trabalho do projeto. A
EAP organiza e define o escopo total e representa o trabalho especificado na
Prof. Victor Dalton

www.estrategiaconcursos.com.br

18 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01
atual declaração do escopo do projeto aprovada. Temos um exemplo de EAP
genérico na figura abaixo.

Como visto na figura acima, o nível de decomposição mais baixo na EAP se
chama pacote de trabalho. Segundo o PMBOK, no nível de pacote de trabalho,
é possível atribuir com precisão os responsáveis pelo pacote, bem como o custo
e a duração das atividades podem ser estimados e gerenciados com confiança. O
nível de detalhes dos pacotes de trabalho variará com o tamanho e
complexidade do projeto.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

19 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01

Entradas:

Plano de gerenciamento do escopo (criada no processo Planejar o
Gerenciamento do Escopo): especifica como criar a EAP a partir da
declaração detalhada do escopo do projeto e como a mesma será mantida
e aprovada.

Declaração do escopo do projeto (criada no processo Definir o Escopo):
descreve detalhadamente as entregas do projeto e o trabalho necessário
para criar as mesmas. Foi criada no processo Definir o escopo.

Documentação dos requisitos (criada no processo Coletar os
Requisitos): descreve como os requisitos individuais atendem às
necessidades do negócio para o projeto. Foi criada no processo Coletar os
requisitos.

Fatores ambientais da empresa: os padrões de EAP específicos de setor,
relevantes à natureza do projeto, podem servir como fontes de referência
externas para a criação da EAP.

Ativos de processos organizacionais: políticas, procedimentos e modelos
para a EAP, arquivos de projetos anteriores e lições aprendidas de
projetos anteriores, dentre outros.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

20 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01
Ferramentas e técnicas:

Decomposição: subdivisão das entregas do projeto em componentes
menores e mais gerenciáveis, até que as entregas do trabalho estejam
definidas no nível de pacotes de trabalho. É a criação da EAP,
propriamente dita.

Opinião Especializada: usada frequentemente para analisar as
informações necessárias para decompor as entregas do projeto até as
menores partes dos componentes a fim de criar uma EAP eficaz. Tal
opinião e conhecimento especializado são aplicados aos detalhes técnicos
do escopo do projeto e usados para reconciliar diferenças de opinião sobre
a melhor maneira de decompor o escopo geral do projeto.

Saídas:

EAP: é o diagrama criado, o principal produto.

Dicionário da EAP: é um documento gerado junto com a EAP, que
fornecerá descrições mais detalhadas dos componentes da EAP, inclusive
dos pacotes de trabalho. Você deve ter percebido que o diagrama da EAP
é um pouco incompleto, exigindo informações complementares que
estarão aqui, no Dicionário da EAP.

Linha de base do escopo: a linha de base do escopo será um componente
do plano de gerenciamento do projeto, que foi criado no processo
Desenvolver o plano de gerenciamento do projeto. Serão anexados a
especificação do escopo do projeto, a EAP e o Dicionário da EAP a esse
plano.

Atualizações dos documentos do projeto: a documentação dos requisitos é
o documento do projeto que provavelmente será atualizado, mas outros
também podem ser afetados, se for o caso.

E agora, entendeu a estrutura de um processo? Os 47 processos do
PMBOK são assim, cada um com suas entradas, técnicas e ferramentas e saídas.
Agora que você já entende a estrutura do PMBOK como um todo, vejamos
as duas técnicas mais “famosas” do PMBOK: o Método do Caminho Crítico e a
Estimativa de 3 Pontos.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

21 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01
2.5 O MÉTODO DO CAMINHO CRÍTICO
Critical Path Method, ou Método do Caminho Crítico, é uma ferramenta
do processo Desenvolver o Cronograma, da área de conhecimento do
Tempo, utilizada para a estimativa de prazos. Ela se baseia na estimativa de
datas para o início e fim das atividades, para verificar em quais atividades existe
margem para folgas no calendário e quais atividades não possuem tal margem,
ou seja, quais atividades que, caso atrasem, atrasam o projeto como um todo.
Este último conjunto de atividades fará parte do “caminho crítico”.
Vamos ver um exemplo?
Suponhamos um conjunto de atividades de um projeto hipotético, cada
qual com o seu prazo de execução:
Atividade
Atividade
Atividade
Atividade
Atividade
Atividade

1
2
3
4
5
6






4 dias
10 dias
2 dias
2 dias
6 dias
4 dias

Agora, suponha as seguintes relações de dependências entre as atividades:
Atividades 2 e 3 dependem do término da Atividade 1;
Atividade 4 depende do término da Atividade 2;
Atividade 5 depende do término da Atividade 3;
Atividade 6 depende do términos das Atividades 4 e 5;
Diante dessas restrições, as atividades podem ser diagramas da seguinte
forma:

Feita essa diagramação, e partindo do princípio que as atividades se iniciam
no dia 1, podemos agora preencher as datas de início e término mais cedo, ou
seja, raciocinando que não ocorrem atrasos nas atividades. Veja abaixo:

Prof. Victor Dalton

www.estrategiaconcursos.com.br

22 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01

Preenchidas essas datas, agora vamos para a última atividade, a Atividade
6, e preenchemos as datas de início mais tarde e término mais tarde, tomando
sempre como referência a data de início mais tarde da atividade posterior. Por
exemplo: se a Atividade 6 tem seu início mais tarde no dia 17, então as
Atividades 5 e 4 podem ter seu término mais tarde no dia 16, e assim por
diante:

Feito esse preenchimento, iremos perceber que algumas atividades
possuem uma “folga”, ou seja, podem sofrer atrasos sem impactar ou
cronograma. Outras, todavia, em caso de atraso, influirão diretamente no prazo
total do projeto. É o caso das Atividades 1, 2, 4 e 6, cuja folga é zero. Confira
abaixo:

Prof. Victor Dalton

www.estrategiaconcursos.com.br

23 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01
Assim sendo, o caminho crítico desse
representado pelas Atividades 1, 2, 4 e 6.

conjunto

de

atividades

é

Interessante ressaltar que o Guia PMBOK fala na existência de folga zero
ou negativa. A folga zero dispensa comentários; a folga negativa é aquela na
qual o período mínimo para a realização das atividades é inferior ao cronograma
global. Nesse contexto, o projeto já começa atrasado.

2.6 ESTIMATIVA DE TRÊS PONTOS

Program Evaluation and Review Technique, ou PERT, ou estimativa de três
pontos, é uma técnica que utiliza três estimativas para definir uma faixa
aproximada para a duração ou custo de uma atividade. Pode ser utilizada no
processo Estimar as durações das atividades ou Estimar os custos.
• Mais provável (tM). A duração/custo da atividade, dados os prováveis
recursos a serem designados, sua produtividade, expectativas realistas de
disponibilidade para executar a atividade, dependências de outros participantes
e interrupções.
• Otimista (tO). A duração/custo da atividade é baseada na análise do
melhor cenário para a atividade.
• Pessimista (tP). A duração/custo da atividade é baseada na análise do
pior cenário para a atividade.
A análise PERT calcula a duração Esperada da atividade (tE) usando uma
média ponderada dessas três estimativas:
tE =(tO + 4tM + tP)
6
A PERT não se aprofunda em como se obtém os valores provável, otimista
e pessimista. Ela apenas indica a fórmula de cálculo.
Sob a ótica da 5º edição do PMBOK, a análise PERT também é chamada de
distribuição Beta. O Guia também reconhece a distribuição triangular, que
trabalha com a média aritmética simples:
tE =tO + tM + tP
3

Prof. Victor Dalton

www.estrategiaconcursos.com.br

24 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01

3) (FCC – TCM/GO – Auditor de Controle Externo – Informática – 2015)
Segundo o Guia PMBoK 4a edição, para se estimar a duração das atividades de
um projeto de software pode-se utilizar uma técnica que considera as incertezas
das estimativas e os riscos. Esta técnica usa três estimativas para definir uma
faixa aproximada para a duração de uma atividade: tempo mais provável (tM),
tempo otimista (tO) e tempo pessimista (tP). Trata-se da Técnica de
(A) Corrente Crítica (TCC).
(B) Revisão e Avaliação de Programa (PERT).
(C) Estimativa Parametrizada (TEP).
(D) Análise de Reserva (TAR).
(E) Caminho Crítico (TCC).

A questão descreve, em linhas gerais, o PERT.
Resposta certa, alternativa b).

Desta forma, encerramos o estudo do PMBOK, e podemos partir para os
exercícios comentados. E não se surpreenda, pois novos conhecimentos
também serão extraídos dos exercícios. Esta apostila excepcionalmente
adaptou os exercícios, para que você possa responde-los com base na quinta
edição do Guia.
Aos trabalhos!

EXERCÍCIOS

1ª Questão)(ESAF – Analista de Finanças e Controle

Desenvolvimento de Sistemas da Informação - 2012) São Áreas de
Conhecimento do PMBOK:
a) Gerenciamento dos Custos do Projeto, Gerenciamento do Tempo do
Projeto, Gerenciamento da Iniciação do Projeto.
b) Gerenciamento dos Custos do Projeto, Gerenciamento do Tempo do
Projeto, Gerenciamento de Aquisições do Projeto.
c) Gerenciamento do Planejamento do Projeto, Gerenciamento do Tempo
do Projeto, Gerenciamento de Aquisições do Projeto.
d) Gerenciamento dos Custos do Projeto, Gerenciamento das Contratações
de Serviços de TI do Projeto, Gerenciamento de Aquisições do Projeto.
e) Gerenciamento do Controle do Projeto, Gerenciamento do Tempo do
Projeto, Gerenciamento de Aquisições do Projeto.
Prof. Victor Dalton

www.estrategiaconcursos.com.br

25 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01

Vamos rever essas áreas de conhecimento? Eu falei que é importante!
O gerenciamento da integração do projeto inclui os processos e as
atividades necessárias para identificar, definir, combinar, unificar e coordenar os
vários processos e atividades dos grupos de processos de gerenciamento.
O gerenciamento do escopo do projeto inclui os processos necessários
para assegurar que o projeto inclui todo o trabalho necessário, e apenas o
necessário, para terminar o projeto com sucesso. Esse gerenciamento está
relacionado principalmente com a definição e controle do que está e do que não
está incluso no projeto.
O gerenciamento do tempo do projeto inclui os processos necessários
para gerenciar o término pontual do projeto.
O gerenciamento dos custos do projeto inclui os processos envolvidos
em estimativas, orçamentos e controle dos custos, de modo que o projeto possa
ser terminado dentro do orçamento aprovado.
O gerenciamento da qualidade do projeto inclui os processos e as
atividades da organização executora que determinam as políticas de qualidade,
os objetivos e as responsabilidades, de modo que o projeto satisfaça às
necessidades para as quais foi empreendido.
O gerenciamento dos recursos humanos do projeto inclui os processos
que organizam e gerenciam a equipe do projeto.
O gerenciamento das comunicações do projeto inclui os processos
necessários para assegurar que as informações do projeto sejam geradas,
coletadas, distribuídas, armazenadas, recuperadas e organizadas de maneira
oportuna e apropriada.
O gerenciamento dos riscos do projeto inclui os processos de
planejamento, identificação, análise, planejamento de respostas, monitoramento
e controle de riscos de um projeto. Os objetivos do gerenciamento dos riscos são
aumentar a probabilidade e o impacto dos eventos positivos e reduzir a
probabilidade e o impacto dos eventos negativos no projeto.
O gerenciamento das aquisições do projeto inclui os processos
necessários para comprar ou adquirir produtos, serviços ou resultados externos
à equipe do projeto. A organização pode ser tanto o comprador como o
vendedor dos produtos, serviços ou resultados de um projeto.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

26 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01
O gerenciamento das partes interessadas do projeto inclui os
processos exigidos para identificar todas as pessoas, grupos ou organizações
que podem impactar ou serem impactados pelo projeto, analisar as expectativas
das partes interessadas e seu impacto no projeto, e desenvolver estratégias de
gerenciamento apropriadas para o engajamento eficaz das partes interessadas
nas decisões e execução do projeto.

Algo que auxilia acertar a questão é que nenhuma área de conhecimento
possui mesmo nome que os grupos de processos, e os grupos de processo você
TEM que saber. Descartaríamos as letras a) e c), a d) também pode ser
eliminada. E a dúvida residiria entre a letra e) e a letra b), nossa alternativa
correta.
DICA DO PROFESSOR: Desde já, eu sugiro que você imprima
aquelas matrizes e diagramas com os processos, áreas de conhecimento
e grupos de processos, para acompanhar os exercícios. Essa tarefa, sem
dúvida, vai auxiliar sua memorização.

2ª Questão) (FCC – TJ/RJ – Analista Judiciário – Analista de Suporte
– 2012) Quanto ao PMBOK, controlar as comunicações, definir as atividades e
desenvolver o plano de RH são, respectivamente, pertencentes ao contexto dos
grupos de processos
a) Monitoramento e controle, Planejamento e Planejamento.
b) Monitoramento e controle, Planejamento e Execução.
c) Planejamento, Execução e Monitoramento e controle.
d) Planejamento, Planejamento e Planejamento.
e) Execução, Planejamento e Execução.

Questão típica “associe processo a grupo de processo”. Vejamos:
Controlar as comunicações: Monitorar e controlar as comunicações no
decorrer de todo o ciclo de vida do projeto para assegurar que as necessidades
de informação das partes interessadas do projeto sejam atendidas. Atividade de
Monitoramento e Controle;
Definir as atividades: Identificar as atividades específicas que precisam
ser realizadas para produzir as várias entregas do projeto. Atividade de
Planejamento;
Planejar o gerenciamento dos recursos humanos: Identificar e
documentar funções, responsabilidades, habilidades e relações hierárquicas do
Prof. Victor Dalton

www.estrategiaconcursos.com.br

27 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01
projeto, além de criar o plano de gerenciamento de pessoal. Atividade de
Planejamento.
Pelos nomes do processos, você conseguiria marcar a alternativa a)?
Exercite essa habilidade!

3ª Questão) (FCC – INFRAERO – Analista Superior III – Analista de
Sistemas/Gestor de TI – 2011) O PMBOK (4a edição) contém 47 processos
de gerenciamento de um projeto, indicando também os 5 grupos em que os
processos se distribuem, e as respectivas áreas de conhecimento associadas a
cada um. Nesse contexto, é correto afirmar:
a) Escopo, Tempo, Custos e Qualidade são os principais determinantes para
o objetivo de um projeto.
b) Todas as áreas de conhecimento são abordadas no grupo Monitoramento
e Controle.
c) Os recursos humanos e as aquisições, as comunicações e a garantia da
qualidade são áreas de conhecimento envolvidas mais intensamente com o
grupo Planejamento.
d) Desenvolver plano de gerenciamento de projeto e Orientar e gerenciar a
execução são atividades (processos) que ocorrem na área de conhecimento
Integração, área esta que se faz presente em todos os grupos, exceto no
Encerramento.
e) Identificar as partes interessadas, Gerenciar o engajamento das partes
interessadas e Controlar as comunicações são processos da área de
conhecimento Comunicações, dentro do grupo Execução.

Outra questão para associação mental! Já vou adiantar que a alternativa
a) é a correta, mas exercite e procure as falhas nas demais alternativas. Isso
vai ajudar sua memorização!

4ª Questão) (FCC – TRT/24ª Região – Analista Judiciário –
Tecnologia da Informação – 2012) Descreve os processos relativos à
garantia de que o projeto inclua todo o trabalho necessário e apenas o trabalho
necessário. Inclui a criação do EAP e a coleta de requisitos. Tal é o
gerenciamento
a) do escopo do projeto.
b) de tempo do projeto.
c) da qualidade do projeto.
d) de integração do projeto.
e) de riscos do projeto.
Prof. Victor Dalton

www.estrategiaconcursos.com.br

28 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01
“Incluir o trabalho necessário e apenas o trabalho necessário”. Isso tem
cara de escopo, não é mesmo?
Alternativa a).

5ª Questão) (FCC – INFRAERO – Analista Superior III – Analista de
Sistemas/Engenharia de Software – 2011) A área de conhecimento que
possui pelo menos um processo em cada um de todos os cinco grupos de
processos do PMBOK é a área de Gerenciamento
a) de Tempo do Projeto.
b) da Qualidade do Projeto.
c) das Comunicações do Projeto.
d) de Integração do Projeto.
e) de Recursos Humanos do Projeto.

Já vi essa pergunta mais de uma vez em concursos. Ao observar a matriz
de processos, perceba que a área de conhecimento de Integração é a única
que possui processos em todos os grupos de processos. O que faz sentido, pois
a Integração possui processos que coordenam outros processos, e precisa estar
presente em todas as etapas.
Resposta certa, alternativa d).

6ª Questão) (FCC – TCM/PA – Técnico de Informática – 2010)
Segundo o PMBOK, o Termo de Abertura do Projeto é um resultado do Grupo de
Processos e da Área de Conhecimento denominados, respectivamente,
a) Iniciação e Gerenciamento da Integração.
b) Planejamento e Gerenciamento do Tempo.
c) Planejamento e Gerenciamento do Escopo.
d) Iniciação e Gerenciamento do Escopo.
e) Planejamento e Gerenciamento da Integração.

O Termo de Abertura é o documento que formalmente autoriza um
projeto ou uma fase e a documentação dos requisitos iniciais que satisfaçam as
necessidades e expectativas das partes interessadas. É o primeiro processo da
Iniciação, sendo da área de conhecimento de Integração.
Alternativa a).
Prof. Victor Dalton

www.estrategiaconcursos.com.br

29 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01
7ª Questão) (FCC – INFRAERO – Analista Superior III – Analista de
Sistemas/Rede e Suporte – 2011) No PMBOK 5a edição, o grupo de
processos Execução contém exclusivamente os processos:
a) Definir as atividades; Identificar as partes interessadas; Controlar o
cronograma.
b) Coletar os requisitos; Gerenciar a equipe do projeto; Gerenciar as
comunicações.
c) Desenvolver a equipe de projeto; Conduzir as aquisições; Realizar a
garantia da qualidade.
d) Controlar as aquisições; Definir o escopo; Realizar o controle integrado
de mudanças.
e) Orientar e gerenciar a execução do projeto; Definir as atividades;
Realizar a análise quantitativa dos riscos.

Outra questão pra você quebrar a cuca, pode ser? Não quero mastigar a
resposta, considero importante que você mesmo pesquise, e veja as falhas nas
demais alternativas. Isso ajuda demais a assimilar.
Alternativa c).

8ª Questão) (FCC – TRE/CE – Técnico Judiciário – Operação de
Computador - 2012) A identificação das partes interessadas (stakeholders) em
um projeto é classificada na área de conhecimento do PMBOK denominada
gerenciamento
a) dos custos do projeto.
b) de aquisições do projeto.
c) de escopo do projeto.
d) das partes interessadas do projeto.
e) de recursos humanos do projeto.

Identificar as partes interessadas é a primeira coisa que o gerente de
projeto faz após a autorização formal (termo de abertura) do projeto ou fase,
não é mesmo? Imagino que, para identificar as partes interessadas, ele tenha
que falar com muita gente. Então essa é uma atividade da área de conhecimento
de Partes Interessadas!
Alternativa d).

Prof. Victor Dalton

www.estrategiaconcursos.com.br

30 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01

9ª Questão) (ESAF – ATRFB – Informática – 2012) Na versão 5 do Guia
PMBOK, o grupo de processos de planejamento inclui o processo
a) Identificar as partes interessadas.
b) Coletar os requisitos.
c) Mobilizar a equipe do projeto.
d) Gerenciar as comunicações.
e) Validar o escopo.

Estude, estude, estude!
Alternativa b).

10ª Questão) (ESAF – ATRFB – Informática – 2012) O Guia PMBOK na
sua versão 5 apresenta as áreas de conhecimento. Uma delas é a de
gerenciamento da integração do projeto. São processos desta área:
a) Desenvolver o termo de abertura do projeto; Encerrar o projeto ou fase.
b) Orientar e gerenciar a execução do projeto; Coletar os requisitos.
c) Sequenciar as atividades; Realizar o controle integrado de mudanças.
d) Desenvolver o plano de gerenciamento do projeto; Desenvolver o
cronograma.
e) Realizar o controle integrado de mudanças; Controlar os custos.

Leia, leia, leia!
Alternativa a).

11ª Questão) (FCC – ARCE – Analista de Regulação – Analista de
Sistemas 2012) O gerenciamento do escopo do projeto, de acordo com o
PMBoK, inclui os processos necessários para garantir que o projeto inclua todo o
trabalho necessário, e somente ele, para terminar o projeto com sucesso. O
gerenciamento do escopo do projeto é dividido em 6 processos. Em relação a
este assunto é correto afirmar que
a) o gerenciamento do escopo do projeto trata principalmente da definição
e controle do que está e do que não está incluído no projeto.
b) no planejamento do escopo é criada uma declaração do escopo
detalhada do projeto que servirá como a base para futuras decisões do projeto.
c) criar EAP se refere ao processo em que é feita a formalização da
aceitação das entregas do projeto terminadas.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

31 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01
d) na definição do escopo é criado um plano de gerenciamento do escopo
do projeto que documenta como o escopo do projeto será definido, verificado e
controlado e como a estrutura analítica do projeto será criada e definida.
e) na verificação do escopo é realizado o controle das mudanças no escopo
do projeto e a subdivisão das principais entregas do projeto em componentes
menores e mais facilmente gerenciáveis.
De acordo com o PMBOK, “o gerenciamento do escopo do projeto inclui os
processos necessários para assegurar que o projeto inclui todo o trabalho
necessário, e apenas o necessário, para terminar o projeto com sucesso. Esse
gerenciamento está relacionado principalmente com a definição e controle do
que está e do que não está incluso no projeto”.
Seis são os processos do Gerenciamento do escopo do Projeto. Vejamos:
Pertencentes à fase de Planejamento:
Planejar o gerenciamento do escopo: Criar um plano de gerenciamento
do escopo do projeto que documenta como tal escopo será definido, validado e
controlado.
Coletar os requisitos—O processo de definição e documentação das
necessidades das partes interessadas para alcançar os objetivos do projeto.
Definir o escopo—O processo de desenvolvimento de uma descrição
detalhada do projeto e do produto. Embora pareça, a criação do plano de
gerenciamento do escopo do projeto não é feita aqui. Tal plano é elaborado no
processo Planejar o Gerenciamento
do Escopo, logo acima. O plano de
Gerenciamento do Escopo é entrada para definir o escopo.

Criar a EAP—O processo de subdivisão das entregas e do trabalho do
projeto em componentes menores e mais facilmente gerenciáveis.

Pertencentes à fase de Monitoramento e Controle:
Validar o escopo—O processo de formalização da aceitação das entregas
terminadas do projeto.
Controlar o escopo—O processo de monitoramento do progresso do
escopo do projeto e escopo do produto e gerenciamento das mudanças feitas na
linha de base do escopo.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

32 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01
O gerenciamento do escopo do projeto contém apenas 6 dos 47 processos
do PMBOK. Contudo, é interessante destacá-lo, pois nele se encontra um
artefato comumente cobrado em provas, a EAP.
Observando as alternativas vemos que:
a) Correta! Nas demais alternativas, é citado o nome de um processo e
descrito outro. Observe:
b) Descreve a definição do escopo;
c) Descreve a verificação do escopo;
d) Descreve a coleta de requisitos;
e) Descreve o controle do escopo e a criação da EAP.

12ª Questão) (Cesgranrio – Banco Central do Brasil – Área 1 - TI –
2010) Um projeto de desenvolvimento de um sistema de informação está sendo
conduzido de acordo com algumas práticas do PMBOK. Com base nisso, a EAP
(Estrutura Analítica do Projeto) criada deve
a) apresentar os requisitos de negócio levantados nas entrevistas.
b) mostrar a alocação financeira dos recursos humanos ao patrocinador.
c) contemplar o início e o término das atividades da fase de construção.
d) incluir 100% do trabalho definido pelo escopo do projeto.
e) indicar os casos de uso que são mais críticos no sistema.
A Estrutura Analítica do Projeto é um artefato produzido na fase de
Planejamento do Projeto, e pertence à área de conhecimento de Escopo.
Sua criação é o processo de subdivisão das entregas e do trabalho do
projeto em componentes menores e de gerenciamento mais fácil. Mas você já
assimilou isso, não é mesmo?
Eu sei que é difícil marcar com convicção uma alternativa que consta a
expressão “incluir 100%”, mas ela é a correta. A EAP, conforme dito acima, deve
especificar o escopo completo do trabalho necessário. Portanto, letra d).

13ª Questão) (FCC – TRF 4ª Região – Analista Judiciário –
Informática - 2010) Sobre a Work Breakdown Structure (WBS) do PMBOK,
também conhecida no Brasil como Estrutura Analítica de Trabalho (EAP), é
correto afirmar:
a) Descreve, em detalhes, as entregas do projeto e o trabalho necessário
para criar essas entregas.
b) Fornece um entendimento comum do escopo do projeto a todas as
partes interessadas no projeto e descreve os principais objetivos do projeto.
c) Inclui diretamente os documentos: limites do projeto, entregas do
projeto, requisitos do projeto, descrição do produto, restrições do projeto e
objetivos do projeto.
Prof. Victor Dalton

www.estrategiaconcursos.com.br

33 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01
d) Focaliza seu trabalho na modelagem de sistemas e nos princípios da
comunicabilidade e usabilidade, independentemente das estratégias e objetivos
de negócios da organização.
e) Subdivide o trabalho do projeto em partes menores e mais facilmente
gerenciáveis, em que cada nível descendente da EAP representa uma definição
cada vez mais detalhada do trabalho do projeto.
Estamos diante de uma questão mais difícil sobre EAP. Trabalhar por
eliminação ajudará a assimilar o conhecimento.
a)Item MUITO DIFÍCIL, uma vez que esta descrição foi copiada da
Declaração do escopo do projeto, cujas características gerais podem facilmente
serem confundidas com a EAP. A declaração de escopo é criada imediatamente
antes da EAP, servindo de entrada para esta. Me parece, inclusive, uma
contradição que a declaração do escopo contenha entregas e trabalho necessário
descritos em detalhes, e a EAP, que contém 100% das entregas e trabalho, não.
Mas a banca adotou como errada;
b) Também é uma cópia de uma característica da Declaração do escopo do
projeto. Errada;
c) Esses documentos também são entradas da Declaração do escopo do
projeto. Errada;
d) O independentemente mata a alternativa. Errada;
e) Correta. Vide figura da questão anterior. Se você se apegar à descrição
chave da EAP, “subdividir o trabalho do projeto em partes menores e mais
facilmente gerenciáveis”, dificilmente você erra uma questão de prova.

14ª Questão) (FCC – TCE/AM – Analista Técnico de Controle Externo
– Tecnologia da Informação - 2012) No PMBOK, o processo de Desenvolver
o Cronograma é o cerne do grupo de processos de Planejamento. Existem várias
ferramentas e técnicas para desenvolver o cronograma do projeto. Duas dessas
técnicas são semelhantes e permitem calcular a duração do projeto. A primeira
usa a duração mais provável, enquanto a segunda usa o que se chama de valor
esperado (ou média ponderada). Trata-se das técnicas
a) Critical Path Method (CPM) e Technical Calculation Weighted
Average(TCWA).
b) Network Critical Paths (NCP) e Technical Calculation Weighted
Average(TCWA).
c) Calculation of Core Activities (CCA) e Network Critical Paths (NCP).
d) Critical Path Method (CPM) e Program Evaluation and Review Technique
(PERT).
e) Program Evaluation and Review Technique (PERT) e Network Critical
Paths (NCP).

Prof. Victor Dalton

www.estrategiaconcursos.com.br

34 de 78

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 01
A duração mais provável, conforme explicado na questão anterior, é o
Método do Caminho Crítico. O outro, de fórmula razoavelmente simples, é a
PERT (Técnica de Revisão e Avaliação de Programa), que ainda pode ser
chamada de estimativa de três pontos.
Resposta certa, alternativa d). Somente para saciar a sua curiosidade,
todos os demais nomes de processos da questão são fictícios.

15ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas –
Tecnologia da Informação – 2013) O Gerenciamento do tempo do projeto
inclui os processos necessários para gerenciar o término pontual do projeto. Um
dos processos de gerenciamento do tempo do projeto é o que permite estimar a
duração das atividades. Uma das técnicas utilizadas nessa etapa é a estimativa
de três pontos conhecida como Program Evaluation and Review Technique
(PERT). A tabela a seguir mostra um exemplo de estimativa de duração das
atividades.

Observando-se a tabela e utilizando-se o PERT, o cálculo do tempo
esperado (tE) é dado por
a) (tO² + 4tM + 3tP) / 8
b) (tO + tM − tP)
c) (tO + tM² − tP / 2)
d) (tO + 4tM + tP) / 6
e) (tO + tM) ² / (tP / 6)

Que interessante, a questão mostrou toda uma tabela prática, estimando
duração das atividades, e quer apenas que você diga a fórmula do PERT.
Prof. Victor Dalton

www.estrategiaconcursos.com.br

35 de 78

WWW.CONCURSEIROSUNIDOS.ORG

1.1. e) 1. Por exemplo. Uma das técnicas utilizadas no desenvolvimento do cronograma é a que permite mostrar o caminho crítico no diagrama de redes.com. 2. b) 1. A figura a seguir mostra um fragmento de um diagrama de redes.1 e 2.3. d) 1.1.3.4 e 3.4 e 3. Considere que as datas de início e término de cada atividade referem-se à quantidade de dias passados desde o início do projeto.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Resposta certa.1.1 e 3. o caminho crítico passa pelas atividades a) 3.CONCURSEIROSUNIDOS.ORG . alternativa d).1 possuem as mesmas datas de início mais cedo e início mais tarde. certo? As atividades 1. 2. 16ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – Tecnologia da Informação – 2013) Um dos processos de gerenciamento do tempo do projeto é o que permite desenvolver o cronograma do projeto. término mais Prof.3.4.estrategiaconcursos. a última data de término da atividade 3. 2. Se você entende o cálculo do método do caminho crítico. 2.1 será 22 dias após o início do projeto. No fragmento de diagrama de redes apresentado.3.br 36 de 78 WWW.2 e 3.3 e 1. 2. então não terá dificuldades em olhar para um diagrama já feito e observar quais são as atividades sem folga no cronograma.3. 2. Victor Dalton www. c) 1.3.

18ª Questão) (FCC – BANESE – Técnico Bancário III – Informática 2012) Na área de conhecimento Gerenciamento da Integração de Projetos do PMBOK. d) Realizar o controle integrado de mudanças. d) de alternativas e tomada de decisão. preparar. caso alguma dessas atividades atrase. o impacto correspondente nos objetivos do projeto se os riscos realmente ocorrerem.br 37 de 78 WWW. e) da variação. Resposta certa. Análise quantitativa: analisa o efeito dos principais eventos de riscos identificados na análise qualitativa de riscos e pode ser usada para atribuir uma classificação numérica a esses riscos individualmente ou para avaliar o efeito agregado de todos os riscos que afetam o projeto.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 cedo e término mais tarde. b) quantitativa de riscos. cronograma. a documentação das ações necessárias para definir. Saiba diferenciar! Análise qualitativa: avalia a prioridade dos riscos identificados usando a probabilidade deles ocorrerem. b) Desenvolver o termo de abertura do projeto.ORG . Isso implica que.CONCURSEIROSUNIDOS. além de outros fatores. Trata-se de Análise a) qualitativa de riscos. além de outros fatores. avalia a prioridade dos riscos identificados usando a probabilidade deles ocorrerem. escopo e qualidade do projeto. Alternativa d). Victor Dalton www.com.estrategiaconcursos. o prazo total deste projeto ou fase também atrasará. 17ª Questão) (FCC – MPE/RN – Analista de Tecnologia da Informação – Engenharia de Software/Desenvolvimento de Sistemas – 2010) Acerca do PMBOK. como o prazo e tolerância a risco das restrições de custo. alternativa a). integrar e coordenar todos os planos auxiliares é elaborada no processo a) Orientar e gerenciar a execução do projeto. cronograma. o impacto correspondente nos objetivos do projeto se os riscos realmente ocorrerem. escopo e qualidade do projeto. como o prazo e tolerância a risco das restrições de custo. Prof. c) do caminho crítico. c) Desenvolver o plano de gerenciamento do projeto.

revisão e regulação do progresso para atender aos objetivos de desempenho definidos no plano de gerenciamento do projeto. Coletar os requisitos − definição e documentação das necessidades das partes interessadas para alcançar os objetivos do projeto. e. Desenvolver o termo de abertura do projeto − desenvolvimento de um documento que formalmente autoriza um projeto ou uma fase e a documentação dos requisitos iniciais que satisfaçam as necessidades e expectativas das partes interessadas.estrategiaconcursos.ORG . E a atividade chave do planejamento é Desenvolver o plano de gerenciamento do projeto.com. h. Determinar o orçamento − agregação dos custos estimados de atividades individuais ou pacotes de trabalho para estabelecer uma linha de base autorizada dos custos. O enunciado fala em documentação para subsidiar planos. Planejar o gerenciamento das comunicações − desenvolver uma abordagem apropriada e um plano de comunicações do projeto com base nas necessidades de informação e requisitos das partes interessadas. Orientar e gerenciar o trabalho do projeto − realização do trabalho definido no plano de gerenciamento do projeto para atingir os objetivos do projeto.br 38 de 78 WWW. fornecer feedback. Gerenciar a equipe do projeto − acompanhar o desempenho de membros da equipe. i.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 e) Monitorar e controlar o trabalho do projeto. c. g. 19ª Questão) (FCC – BANESE – Técnico Bancário III – Informática 2012) Associe as atividades e/ou processos com as áreas de gerenciamento do guia PMBoK: a. f. Monitorar e controlar o trabalho do projeto − acompanhamento. b. Victor Dalton www. resolver questões e gerenciar mudanças para otimizar o desempenho do projeto.CONCURSEIROSUNIDOS. Controlar as comunicações − Monitorar e controlar as comunicações no decorrer de todo o ciclo de vida do projeto para assegurar que as necessidades de informação das partes interessadas do projeto sejam atendidas. Alternativa c). d. É uma atividade de planejamento. e nos ativos organizacionais disponíveis. Associe as atividades e/ou processos com as áreas de gerenciamento do guia PMBoK: (faça sem olhar a próxima página) Prof. Criar a EAP − subdivisão das entregas e do trabalho do projeto em componentes menores e mais facilmente gerenciáveis.

d) a eliminação de causas de defeitos e o controle da qualidade. d) Planejar o escopo do projeto. de modo que o projeto atenda às necessidades que motivaram sua realização. b) a garantia da qualidade e controlar a qualidade.adaptada) São processos do Grupo de Processos de Iniciação do PMBOK: a) Desenvolver o termo de abertura do projeto. 21ª Questão) (FCC – ARCE – Analista de Regulação – Analista de Sistemas 2012) No PMBoK. Conseguiu lembrar? A qualidade engloba apenas três ações: Planejamento. Victor Dalton www. Desenvolver a declaração do escopo preliminar do projeto.CONCURSEIROSUNIDOS. e) a maturidade da qualidade e o controle dos defeitos da qualidade. Os processos de gerenciamento da qualidade do projeto incluem planejar o gerenciamento da qualidade e realizar a) as políticas de qualidade e o monitoramento dos resultados. b) Definir o escopo do projeto.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Outra questão excelente para você se exercitar! Deixo aqui apenas o gabarito. c) as atividades de qualidade e o monitoramento dos defeitos. alternativa a).com. Desenvolver o termo de abertura do projeto.ORG . controle e garantia. os objetivos e as políticas de qualidade. Prof. Quanto ao grupo de iniciação. desenvolver o termo de abertura do projeto e identificar as partes interessadas. os processos de gerenciamento da qualidade do projeto incluem todas as atividades da organização executora que determinam as responsabilidades. são apenas os dois processos da letra c). Identificar interessados. Criar EAP. Planejar o escopo do projeto. c) Desenvolver o termo de abertura do projeto. – 20ª Questão) (ESAF – Analista de Finanças e Controle Desenvolvimento de Sistemas de Informação – 2012 .estrategiaconcursos.br 39 de 78 WWW. e) Criar EAP.

julgue os itens que se seguem. As fases de iniciação e encerramento do projeto são as mais curtas. como já visto anteriormente.ORG .CONCURSEIROSUNIDOS. Em termos de amplitude temporal. O CPM. Correta.br 40 de 78 WWW. por ser um esforço temporário.).. sendo a fase que possui maior número de processos. Correta. Atividades de natureza operacional possuem caráter contínuo.com. é natural que atividades de natureza operacional sejam mais comuns ao longo do ciclo de vida de um produto do que ao longo do ciclo de vida de um projeto. alternativa b).Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Resposta certa. enquanto o projeto possui como característica sua limitação no tempo. serve exatamente para o desenvolvimento de cronogramas. elaboração de documentação de encerramento. dependendo do projeto). uma vez que são fases mais procedimentais (obtenção de autorização para início de projeto. 23 Atividades de natureza operacional executadas na organização são mais frequentes no ciclo de vida de um produto do que no ciclo de vida de um projeto. Correta. é esperado que a amplitude temporal dos processos do grupo de iniciação seja mais próxima dos processos do grupo de encerramento do que dos processos do grupo de planejamento.estrategiaconcursos. (CESPE – TRE/RJ – Analista Judiciário – Análise de Sistemas 2012) Acerca de gerenciamento de projetos aderente ao PMBOK 4 e de sua relação com a gestão estratégica da organização. Victor Dalton www. em uma mesma organização. seu gerenciamento de serviços. etc. sua governança de TI e qualidade de seu software. 22 Em um projeto de longo prazo executado no âmbito da organização.. é razoável que a fase de iniciação esteja bem mais próxima da fase de encerramento do que da fase de planejamento. Prof. A fase de planejamento é uma fase longa e complexa (talvez a mais longa e complexa de todas. Portanto. 24 O método do caminho crítico tem aplicabilidade direta no processo de desenvolvimento de cronograma.

relativos a gerenciamento de projetos. o “gerenciamento de projetos é a aplicação de conhecimento. 27 A natureza temporária do projeto implica a existência de início e término definidos para o projeto e que o seu término seja alcançado mesmo quando se concluir que os objetivos definidos não serão ou não poderão ser atingidos. Errada. 28 Todos os projetos podem ser mapeados mediante a estrutura de ciclo de vida.2013) Com base no Guia PMBOK (5.estrategiaconcursos. e é estabelecida uma linha de base autorizada dos custos. ou alocados em outros projetos.br 41 de 78 WWW.a edição). habilidades. Kim Heldman afirma que existem quatro tipos formais de encerramento de projeto. a execução e o encerramento do projeto. Errada.ORG . e não da TI.CONCURSEIROSUNIDOS. a organização. Tão absurda que a gente até para pra pensar. Absorção. Victor Dalton www. Prof. 26 A estimativa dos custos é o processo mediante o qual são agregados custos de atividades individuais ou pacotes de trabalho. ferramentas e técnicas às atividades do projeto a fim de atender aos seus requisitos”. inclusive os estimados. ou seja. quando os recursos são cortados. quando o projeto é concluído e aceito pelos stakeholders. quando o projeto se transforma em uma operação continuada. quando os recursos do projeto são distribuídos por outras áreas na organização. aos requisitos do negócio. Estimar os custos é o processo que desenvolve uma estimativa de custos dos recursos monetários necessários para terminar as atividades do projeto. (CESPE – SERPRO – Analista – Administração de Serviços de Tecnologia da Informação . a qual poderá subsidiar decisões sobre mudanças desses custos. Parafraseando o PMBOK. e extinção.com. esgotamento. Certa. integração. que compreende o início. Este processo é Determinar o Orçamento. a preparação. Mas está errado mesmo. julgue os itens a seguir.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 25 O gerenciamento de projetos tem por objetivo primordial a satisfação de requisitos de software demandados pelos clientes da área de TI.

ele também pertence À Integração. Organização e preparação é tida como uma única etapa no ciclo de vida. Errada. Realizar a garantia da qualidade envolve o processo de auditoria dos requisitos de qualidade e dos resultados das medições de controle de qualidade para garantir que sejam usados os padrões de qualidade e as definições operacionais apropriadas. realiza-se o processo definir o escopo. para então criar a EAP. 31 O processo referente ao encerramento de projeto ou fase compõe a área de integração do projeto e tem por objetivo finalizar formalmente o projeto ou a fase. A banca inverteu os conceitos para confundir o candidato. enquanto controlar a qualidade é o processo de monitoramento e registro dos resultados da execução das atividades de qualidade para avaliar o desempenho e recomendar as mudanças necessárias. realizar a garantia da qualidade faz parte da Execução. e não do Monitoramento e Controle. Errada.ORG . 30 A garantia da qualidade e o controle da qualidade são processos compreendidos no monitoramento e controle de um projeto.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Certa. Errada.com. logo após a realização do processo de coleta dos requisitos. Quase tudo está correto! O único erro é afirmar que o desenvolvimento do termo de abertura pertence ao Escopo.estrategiaconcursos. Sempre leia toda a sentença com atenção. 29 A criação da estrutura analítica do projeto é um processo executado pela área de integração durante a fase de planejamento. Na verdade. Após coletar os requisitos.CONCURSEIROSUNIDOS.br 42 de 78 WWW. pode ter pegadinha escondida! Prof. enquanto o processo relativo ao desenvolvimento do termo de abertura do projeto compõe a área de escopo e tem por objetivo autorizar o início do projeto ou de uma fase. Victor Dalton www. a auditoria dos requisitos de qualidade e dos resultados das medições de controle da qualidade. Além disso. mas isso não impediu da questão ser considerada correta. O primeiro processo abrange o monitoramento e o registro dos resultados da execução e o segundo.

com o objetivo de otimizar o desempenho do projeto e averiguar se o trabalho realizado está de acordo com os objetivos de desempenho definidos no plano de gerenciamento do projeto. à alocação. Gerenciar a Equipe do Projeto é o processo que “acompanha o desempenho de membros da equipe. pessoas. atendendo às suas necessidades. 33 A estimativa dos recursos da atividade é um processo de recursos humanos cujo objetivo é estimar os tipos e quantidades de material. e também consiste em uma entrada do processo de validação do escopo.br 43 de 78 WWW. Eu também deixaria em branco esse tipo de alternativa. integral ou parcial. Certa. equipamentos ou suprimentos necessários à realização da atividade. se resolvem questões e se gerenciam mudanças. Victor Dalton www. Prof.ORG . o planejamento das respostas aos riscos inclui as estratégias de compartilhamento e melhoramento. as quais se referem. resolve problemas e coordenar mudanças para melhorar o desempenho do projeto”. enquanto Gerenciar mudanças faz parte do processo Realizar o controle integrado de mudanças! 36 O gerenciamento do engajamento das partes interessadas é um processo do grupo de iniciação da área de recursos humanos cujo objetivo é promover a interação entre as partes interessadas. se fornece feedback. fornece feedback. e solucionar os problemas ̀ medida que ocorrerem. respectivamente. Errada.com. da propriedade da oportunidade e ao aumento da probabilidade do impacto de uma oportunidade. Certa. É um processo de Tempo! Atenção! 34 No gerenciamento de riscos de projeto.estrategiaconcursos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 32 A documentação de requisitos consiste em uma saída do processo de coleta de requisitos. Errada.CONCURSEIROSUNIDOS. 35 Monitorar e controlar o trabalho do projeto é o processo mediante o qual se acompanha o desempenho de membros da equipe.

conforme a ISO/IEC 9001:2000. a folga pode ser negativa ou igual a zero. e à área de Partes Interessadas! 37 Na execução do processo garantia da qualidade. nesse método. realização. administração e encerramento de aquisições interagem entre si. Todos os processos interagem com processos de outras áreas. mas o correto é pertencer à área de conhecimento de Escopo! 40 O método do caminho crítico é utilizado para calcular as datas de início e de término de um projeto antes do início das atividades. os processos de planejamento.br 44 de 78 WWW. mas não interagem com processos de outras áreas. Errada. E tome mais pegadinha! O Gerenciamento do engajamento das partes interessadas pertente ao grupo de processos de execução. Victor Dalton www. com vistas a garantir que sejam usados os padrões de qualidade e as definições operacionais apropriadas.CONCURSEIROSUNIDOS. promove-se a auditoria dos requisitos de qualidade. 38 Na área de aquisições.estrategiaconcursos. Tudo quase certo.2012) – Documentação e Disseminação das 39 A coleta de requisitos é um processo que pertence ao gerenciamento de integração de projetos e que visa obter e documentar as necessidades dos stakeholders para alcançar os objetivos do projeto.ORG . Errada.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Errada. mesmo que sejam apenas com os processos da área de Integração. Prof.com. (CESPE – SAEB/SEI Informações . Certa.

programas ou mesmo outros portfólios.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Correto. Por meio do processo Realizar a garantia da qualidade. (CESPE – TCE/RO – Analista de Informática . Correto. Correto.estrategiaconcursos. No caminho crítico. 41 O orçamento é o processo de agregação dos custos estimados das atividades por pacotes de trabalhos ou individuais.br 45 de 78 WWW.2013) 44 O grupo de processos de execução é o responsável pelos resultados das medições do controle de qualidade e por auditar os requisitos de qualidade. 42 De acordo com o PMBOK. Folga negativa é aquela na qual o período mínimo para a realização das atividades é inferior ao cronograma global. um projeto é um esforço temporário empreendido para criar um produto ou serviço exclusivo. Correto. verifica-se que os objetivos do projeto não poderão ser atingidos ou que o projeto não é mais necessário. Entre outras situações. 43 O gerenciamento de projetos pode ser realizado por meio do gerenciamento de portfólios.CONCURSEIROSUNIDOS. Prof. Correto. a folga é zero em situações "normais". e negativa na situação descrita acima. e os orçamentos autorizados podem servir de base para medir o desempenho de custo dos projetos. Folgas positivas somente ocorrem fora do caminho crítico. Victor Dalton www. seu término acontece quando: atingem-se os objetivos do projeto. o projeto já começa atrasado. os quais podem agrupar projetos.com. Nesse contexto.ORG .

com. 47 O processo de mobilização da equipe do projeto integra o grupo de processo de planejamento em um projeto.ORG . (CESPE – ANCINE – Analista Administrativo – Área 2 . Faz parte da Execução.estrategiaconcursos. Também são entradas as saídas dos processos de planejamento. Prof. Errada. 46 É exemplo de projeto a criação e manutenção contínua de um processo para a prestação de serviços aos usuários em suas estações de trabalho. relativos a gerenciamento de projetos de TI. o termo de abertura do projeto. Nem vou comentar essa. Isto é uma operação continuada. 48 Para o desenvolvimento do plano de gerenciamento do projeto. discriminando detalhes da mesma. como uma de suas entradas.br 46 de 78 WWW. é necessário que esse processo receba. Quem contém essas informações é a declaração do escopo do projeto.2013) De acordo com o PMBOK. julgue os itens a seguir. criada no processo Definir o escopo. Errada. Errada. entregas e critérios de aceitação do projeto.CONCURSEIROSUNIDOS.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 45 O grupo de processos de iniciação é o responsável pelo monitoramento e controle do projeto. Errada. 49 O dicionário da estrutura analítica do projeto inclui descrição do escopo. O dicionário da EAP é “apenas” uma “legenda da EAP”. Certa. Victor Dalton www. os fatores ambientais da empresa e os ativos de processos organizacionais.

br 47 de 78 WWW. (CESPE – BACEN – Analista – Área 1:Desenvolvimento .2013) É um capítulo do PMBOK 4a edição que inclui processos. para relacionar as atividades. julgue os itens seguintes.ORG . entre outros. o gerente funcional possui mais poder do que o gerente de projetos.estrategiaconcursos. Trata-se do Gerenciamento a) das comunicações do projeto.CONCURSEIROSUNIDOS. é necessário criar primeiramente a lista de atividades. tais como: Coletar requisitos e Criar EAP. c) de custos do projeto.com.2013) No que se refere a gerenciamento de projetos e PMBOK. necessário para o levantamento do caminho crítico. Certa. Saber de cor os seis processos da área de conhecimento do escopo é obrigação! A saber:    Planejar o gerenciamento do escopo Coletar requisitos Definir o escopo Prof.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 50 Considera-se um fator ambiental da empresa a tolerância aos riscos das partes interessadas em um projeto. Certa. e) da qualidade do projeto. é necessário listá-las antes. Na fraca. 53ª Questão) (FCC – TRT/18ª Região – Analista Judiciário – Tecnologia da Informação . 51 Em uma organização de matriz fraca. Victor Dalton www. o gerente de projetos e o gerente funcional compartilham igualmente o poder. 52 Para criar o diagrama de rede. O diagrama de rede é o desenho dos inter-relacionamentos das atividades. d) do escopo do projeto. b) de integração do projeto. Isso ocorre em uma matriz balanceada. Errada. Naturalmente.

Outra questão que envolve a associação mental processo – grupo de processo. d) controlar as aquisições − controlar o escopo − realizar a análise qualitativa de riscos.CONCURSEIROSUNIDOS.br 48 de 78 WWW.com.ORG . b) gerenciar a equipe do projeto − validar o escopo − estimar os recursos das atividades.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016    Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Criar a EAP Validar o Escopo Controlar o Escopo Alternativa d). são. um de Execução e outro de Monitoramento e Controle a) estimar as durações das atividades − controlar a qualidade − controlar as aquisições. Victor Dalton www. e) realizar a análise quantitativa de riscos − conduzir aquisições – controlar as comunicações. 54ª Questão) (FCC – TRT/18ª Região – Analista Judiciário – Tecnologia da Informação 2013) No PMBOK 4a edição. c) identificar as partes interessadas − determinar o orçamento − validar o escopo. A saber: Estimar as durações das atividades – Planejamento Realizar o controle de qualidade – Monitoramento e Controle Controlar as aquisições – Monitoramento e Controle Gerenciar a equipe do projeto – Execução Validar o escopo − Monitoramento e Controle Estimar os recursos das atividades – Planejamento Identificar as partes interessadas – Iniciação Determinar o orçamento – Planejamento Validar o escopo – Monitoramento e Controle Controlar as aquisições – Monitoramento e Controle Controlar o escopo – Monitoramento e Controle Realizar a análise qualitativa de riscos – Planejamento Realizar a análise quantitativa de riscos – Planejamento Conduzir aquisições – Execução Prof.estrategiaconcursos. um processo do grupo de processos de Planejamento. respectivamente.

uma vez que você. é INCORRETO afirmar que a) uma estimativa de custos necessária para um plano de contingência envolve a integração dos processos nas áreas de conhecimentos de custos. o monitoramento e controle é exercido ao longo de todo o projeto. b) Declaração do Escopo do Projeto.com. Fornece à equipe uma compreensão clara da saúde final do projeto. b) o monitoramento é um aspecto do gerenciamento da integração que é executado ao término do projeto.2014) São entradas do processo Criar a Estrutura Analítica do Projeto (EAP).2013) De acordo com o guia PMBoK 4a edição. tempo e riscos. identificando as áreas que requerem mudanças por terem inserido erros no projeto. a necessidade do Gerenciamento da Integração do projeto fica evidente em situações em que processos distintos interagem.br 49 de 78 WWW. Registro das Partes Interessadas. um plano de gerenciamento do projeto documentado no início do projeto. embora aparentemente complexa. especialista em PMBOK. Prof. Afina de contas. Documentação dos Requisitos e Ativos de Processos Organizacionais. deve ter achado um absurdo a alternativa b) afirmar que o monitoramento ocorre somente no término do projeto. e) as atividades necessárias para gerenciar documentos e assegurar consistência no plano de gerenciamento do projeto e entregas envolvem o gerenciamento da integração. do Grupo de Processos de Planejamento. d) as entregas do projeto podem precisar ser integradas às operações em progresso da organização executora ou da organização do cliente.ORG . c) o grupo de processos de planejamento fornece ao grupo de processos de execução. Essa questão. 55ª Questão) (FCC – TRT/12ª Região – Analista Judiciário – Tecnologia da Informação . 56ª Questão) (FCC – TRT/2ª Região – Analista Judiciário – Tecnologia da Informação . ou ao planejamento estratégico de longo prazo que considera problemas ou oportunidades futuras. Em relação ao Gerenciamento da Integração. Documentação de Requisitos. facilitando as atualizações ao plano de gerenciamento. facilita demais a nossa vida. Victor Dalton www.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Controlar as comunicações – Monitoramento e Controle Alternativa e). se mudanças ocorrerem durante o progresso do mesmo.estrategiaconcursos.CONCURSEIROSUNIDOS. descritas na quarta edição do guia PMBoK: a) Termo de Abertura do Projeto.

Além de autorizar formalmente um projeto ou fase. Portanto. Dicionário da EAP e Ativos de Processos Organizacionais. Agora. Atributos das Atividades. d) Histórico das atualizações do plano. b) o processo de identificar as atividades necessárias para produzir as entregas do projeto. e) As responsabilidades da equipe do projeto.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 c) Lista de Atividades.estrategiaconcursos. Prof. Declaração do Escopo do Projeto e Ativos de Processos Organizacionais. não cabe outra alternativa que não seja a letra c). e) Documentação dos Requisitos. Quando a banca vai nesse nível de profundidade. Lista dos Marcos. Victor Dalton www.ORG . sinta o nível de direcionamento do nosso curso: a banca se aprofundou justamente no processo que eu detalhei para vocês (sim.com. o Termo de Abertura identifica um gerente de projeto. Saídas dos Processos de Planejamento. a) Como será feito o fechamento do projeto.CONCURSEIROSUNIDOS. b) Os perfis da equipe de projetos. a coisa começa a ficar feia. e documentar os requisitos iniciais que satisfarão as necessidades e expectativas das partes interessadas. c) Nomeação do gerente de projeto. c) o mesmo que identificar e documentar as dependências das atividades do projeto. eu montei este curso antes dessa prova! ) Alternativa b). d) Termo de Abertura do Projeto. Fatores Ambientais da Empresa e Ativos de Processos Organizacionais. Eu costumo falar.br 50 de 78 WWW. 57ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013 – prova anulada) Assinale a alternativa que apresenta um item constante do termo de abertura de projeto. 58ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013) É correto afirmar que criar a Estrutura Analítica do Projeto (EAP) é: a) o processo de subdivisão das entregas e do trabalho do projeto em componentes menores e de gerenciamento mais fácil.

assinale a alternativa que apresenta a sequência correta. equipamento). A resposta sempre será “o processo de subdivisão das entregas e do trabalho do projeto em componentes menores e de gerenciamento mais fácil”. tempo e qualidade. e) o mesmo que estimar o tempo para completar cada atividade. Mesmo desde as fases iniciais de planejamento. Prof.br 51 de 78 WWW. matéria-prima.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 d) o mesmo que estimar os recursos necessários para executar cada atividade (pessoas.com.ORG . ( ) Inclui a atividade de manter a integridade das linhas de base. deve existir preocupação e atenção a eventuais mudanças. escopo. em seguida.estrategiaconcursos. marque V para verdadeiro ou F para falso e. ( ) É realizado desde o início do projeto até o seu término. Victor Dalton www. Inclui a atividade de manter a integridade das linhas de base – mudanças alteram as linhas de base de custos.CONCURSEIROSUNIDOS. ( ) Pode rejeitar todas as ações corretivas recomendadas. 59ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013) Quanto ao processo Controle Integrado de Mudanças. ( ) Está focado na especificação das entregas e dos processos. Alternativa a). a) F/ V/ V/ F b) F/ F/ F/ V c) F/ F/ V/ F d) V/ V/ F/ V e) V/ F/ V/ F E chegou a nossa questão premiada! Aquela que escolheu um processo e resolveu cobrar mais a fundo. mas tente exercitar o seu bom senso! É realizado desde o início do projeto até o seu término perfeitamente. Não há dúvidas sobre questões de EAP. Este processo deverá também se assegurar que as linhas de base estejam atualizadas. Vou expor a resposta.

O Comitê Consultivo de Mudança aprova apenas as mudanças que julgar adequadas e benéficas ao projeto e à organização. O grupo de processos de planejamento consiste nos processos realizados para estabelecer o escopo total do esforço. 60ª Questão) (UEL – SEFAZ/PR – Auditor Fiscal – 2012) Sobre a estrutura do modelo PMBOK. e) planejamento define e autoriza o projeto ou uma fase do projeto ao longo do período. alternativa d).com. Resposta certa.CONCURSEIROSUNIDOS. Pode rejeitar todas as ações corretivas recomendadas – correto. ou todas elas. O grupo de processos de monitoramento e controle consiste nos processos necessários para acompanhar. nos documentos do projeto e no plano de gerenciamento do projeto. revisar e regular o progresso e o desempenho do projeto. c) iniciação define e refina os objetivos e as ações necessárias para alcançar os objetivos para os quais o projeto foi idealizado. visando ações preventivas. Embaralhado dos grupos de processos do PMBOK! Vejamos: O grupo de processos de iniciação define e autoriza o projeto ou uma fase do projeto ao longo do período. b) execução integra pessoas e outros recursos para realizar o plano de gerenciamento do projeto. identificar todas as áreas nas quais serão necessárias mudanças no plano e iniciar as mudanças correspondentes. d) monitoramento e controle formaliza a aceitação do produto. definir e refinar os objetivos e desenvolver o curso de ação necessário para alcançar esses objetivos.br 52 de 78 WWW. Prof. visando a tomar ações corretivas.estrategiaconcursos. Victor Dalton www. mas também nos ativos de processo organizacionais. O grupo de processos de execução consiste nos processos realizados para concluir o trabalho definido no plano de gerenciamento do projeto de forma a cumprir as especificações do projeto. Integra pessoas e outros recursos para realizar o plano de gerenciamento do projeto. Não é seu foco as mudanças nos processos. é correto afirmar que o grupo de processos de a) encerramento conduz à conclusão das variações em relação ao plano de gerenciamento do projeto. serviço ou resultado.ORG .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Está focado na especificação das entregas e dos processos – este processo está focado não somente nas mudanças das entregas. Não existe obrigação de aprovar pelo menos uma mudança.

II. A Definição de Escopo estabelece o processo que desenvolve uma declaração detalhada do escopo do projeto como base para as futuras decisões a respeito dele.ORG . O processo Criar EAP realiza a subdivisão das principais entregas do projeto e do trabalho do projeto em componentes menores e mais facilmente gerenciáveis. d) Somente as afirmativas I. Prof. Resposta certa. II e III são corretas. É o mais extenso. alternativa b). O grupo de processos de planejamento do PMBOK possui 24 processos.estrategiaconcursos.CONCURSEIROSUNIDOS. A Definição de Atividades é o processo que identifica as atividades específicas que precisam ser realizadas para produzir as várias entregas do projeto. e a questão nos traz cinco processos.com. 61ª Questão) (UEL – SEFAZ/PR – Auditor Fiscal – 2012) Sobre os processos de planejamento do PMBOK. de todos os grupos de processos de gerenciamento do projeto. Assinale a alternativa correta. considere as afirmativas a seguir. serviços e resultados e identifica os seus possíveis fornecedores. e) Somente as afirmativas II. O embaralhamento não facilita responder a questão. I. c) Somente as afirmativas III e IV são corretas. a) Somente as afirmativas I e II são corretas. ou obrigações contratuais. III.br 53 de 78 WWW. b) Somente as afirmativas I e IV são corretas. III e IV são corretas. mas não chega a torná-la difícil. visando completar formalmente o projeto ou a fase. Vamos vê-los? Sequenciar as Atividades é o processo de identificação e documentação dos relacionamentos entre as atividades do projeto. IV.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 O grupo de processos de encerramento consiste nos processos executados para finalizar todas as atividades. Victor Dalton www. O Sequenciamento de Atividades é o processo que documenta os requisitos de produtos.

(C) no processo Realizar a garantia da qualidade. Ah. para adaptá-los à quarta edição do PMBOK. que inclui o gerenciamento da relação com os patrocinadores. (esse processo sempre aparece. Resposta certa. Criar EAP realiza a subdivisão das principais entregas do projeto e do trabalho do projeto em componentes menores e mais facilmente gerenciáveis.com. e perceba que dei uma "renomeada" nos nomes dos processos.estrategiaconcursos.br 54 de 78 WWW. de processos de Planejamento Prof.ORG e no de .CONCURSEIROSUNIDOS. ocorre (A) nos grupos de processos de gerenciamento de Riscos e da Comunicação do projeto. (E) somente no grupo Monitoramento e Controle. Considerando que um gerente de projetos está praticando o PMBoK v5 em seus projetos. (D) em todos os grupos de processos do PMBoK. impressionante) Definir as Atividades é o processo que identifica as atividades específicas que precisam ser realizadas para produzir as várias entregas do projeto. (B) como um processo em todas as áreas de conhecimento do PMBoK. Definir o Escopo estabelece o processo que desenvolve uma declaração detalhada do escopo do projeto como base para as futuras decisões a respeito dele. serviços e resultados e identifica os seus possíveis fornecedores. Captou por que falei cinco processos? Sequenciar as Atividades foi descrito como Planejar o gerenciamento das aquisições. 62ª Questão) (FCC – TCE/RS – Auditor Público Externo – Técnico em Processamento de Dados – 2014) O gerenciamento da relação com os patrocinadores de projetos ganhou especial importância no PMBoK v5. Victor Dalton www. exceto no Encerramento do projeto. alternativa e).Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Planejar o gerenciamento das Aquisições é o processo que documenta os requisitos de produtos. a área de conhecimento de gerenciamento dos stakeholders.

br 55 de 78 WWW. Planejar o gerenciamento das partes interessadas: desenvolver estratégias apropriadas de gerenciamento para engajar as partes interessadas de maneira eficaz no decorrer de todo o ciclo de vida do projeto. o problema da cobrança indevida ocorreu em função de falta ou falha na execução de processos do grupo de processos de Prof.CONCURSEIROSUNIDOS. O gerente de TI consultou o contrato que havia sido estabelecido com o fornecedor e confirmou que as cobranças de serviços de consultoria de implantação deveriam ser suspensas assim que realizado o aceite da implantação e iniciado o faturamento do serviço de suporte e manutenção para cada módulo do sistema que fosse concluído. Portanto.estrategiaconcursos.ORG . e ajustar as estratégias e planos para o engajamento das partes interessadas. alternativa d).com. a saber: Identificar as partes interessadas: Este processo identifica pessoas e organizações que podem ser afetadas pelo projeto e de documentação das informações relevantes relacionadas aos seus interesses. com base na análise das suas necessidades. Victor Dalton www. interesses. ficando sujeitos às cobranças de consultoria de implantação somente os módulos ainda não finalizados.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 A área de conhecimento de gerenciamento das partes interessadas possui quatro processos. Gerenciar o engajamento (nível de comprometimento) das partes interessadas: Gerenciar a comunicação a fim de satisfazer os requisitos das partes interessadas no projeto e resolver problemas com elas. Controlar o engajamento (nível de comprometimento) das partes interessadas: monitorar os relacionamentos das partes interessadas do projeto em geral. e impacto potencial no sucesso do projeto. Considerando que na empresa em questão aplica-se o PMBoK v5. 63ª Questão) (FCC – TCE/RS – Auditor Público Externo – Técnico em Processamento de Dados – 2014) A área de controladoria de uma empresa solicitou explicações ao gerente da área de TI sobre os motivos pelos quais um projeto que havia sido parcialmente finalizado há três meses. esta área de conhecimento não possui processo na fase de Encerramento. envolvimento ou impacto no sucesso do projeto. continuava remunerando um fornecedor pelos serviços de consultoria de implantação para um módulo do sistema já implantado. Resposta certa.

Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 (A) Monitoramento e Controle. Resposta certa. 64ª Questão) (FCC – TCM/GO – Auditor de Controle Externo – Informática – 2015) Segundo o Guia PMBoK 4a edição. para se estimar a duração das atividades de um projeto de software pode-se utilizar uma técnica que considera as incertezas das estimativas e os riscos. (C) Iniciação.estrategiaconcursos.ORG . a área de conhecimento em gerenciamento de projetos conhecida como Gerenciamento dos Custos do Projeto contém os processos: Estimar os Custos. inclusive a resolução de quaisquer itens em aberto. (B) Execução. alternativa e). tempo otimista (tO) e tempo pessimista (tP). (E) Caminho Crítico (TCC). 65ª Questão) (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia da Informação – 2015) No PMBoK 4a edição. (C) Estimativa Parametrizada (TEP). (D) Planejamento. A questão descreve.br 56 de 78 WWW. Victor Dalton www. o PERT. que terminar e liquidar cada contrato.CONCURSEIROSUNIDOS.com. (B) Revisão e Avaliação de Programa (PERT). visando completar formalmente o projeto ou a fase. que consiste nos processos executados para finalizar todas as atividades. ou obrigações contratuais. alternativa b). Tratase da Técnica de (A) Corrente Crítica (TCC). houve falha no processo encerrar as aquisições. Resposta certa. Esta técnica usa três estimativas para definir uma faixa aproximada para a duração de uma atividade: tempo mais provável (tM). Pela questão. Em específico. em linhas gerais. (D) Análise de Reserva (TAR). (E) Encerramento. Determinar Prof. e encerrar cada contrato aplicável ao projeto ou a uma de suas fases. de todos os grupos de processos de gerenciamento do projeto. visivelmente houve falha no Encerramento do projeto.

br 57 de 78 WWW. pois a matriz de probabilidade e impacto investiga a probabilidade dos riscos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Orçamento e Controlar os Custos. através da avaliação e combinação de sua probabilidade de ocorrência e impacto. 67ª Questão) (FCC – TRT/MG – Analista Judiciário – Tecnologia da Informação – 2015) Andrew. (C) Determinar Orçamento e Controlar os Custos. (E) Determinar Orçamento. apenas. Resposta certa. 66ª Questão) (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia da Informação – 2015) Um analista da área de Tecnologia da Informação criou uma Matriz de Probabilidade e Impacto para classificar os riscos e priorizar as respostas a eles. A Análise Qualitativa dos Riscos envolve a priorização dos riscos para análise. Típica questão que procura confundir o candidato entre a Análise Qualitativa e Quantitativa dos riscos.CONCURSEIROSUNIDOS. esta matriz foi utilizada como técnica (ou ferramenta) do processo (A) Realizar a Análise Quantitativa dos Riscos.com. enquanto Controlar os Custos remete ao Monitoramento e Controle. alternativa c). (B) Estimar os Custos. Prof. Estimar os Custos e Determinar o Orçamento são atividades que remetem a Planejamento.ORG . (D) Identificar os Riscos. alternativa d). analista de TI do Tribunal Regional do Trabalho. (C) Realizar a Análise Qualitativa dos Riscos. (B) Planejar as Respostas aos Riscos. (D) Estimar os Custos e Determinar Orçamento.estrategiaconcursos. Victor Dalton www. (E) Monitorar e Controlar os Riscos. Como esse Analista segue à risca o PMBoK 4a edição. apenas. Como os próprios nomes dos processos indicam. faz (ou fazem) parte do grupo de processos de planejamento: (A) Estimar os Custos e Controlar os Custos. o que conduz à nossa resposta certa. participou de um projeto que seguiu as melhores práticas do PMBoK 5ª edição. Resposta certa. bem como o seu impacto no projeto. Dentre estes.

ele participou de processos que são. alguns de vocês julguem interessante partir para a leitura completa do PMBOK. Determinar o Orçamento é processo do Planejamento. diante de algumas questões.br 58 de 78 WWW. nesta aula. (E) Planejamento / Execução. É preferível assimilar bem o pouco conteúdo ministrado aqui e garantir a maioria das questões em prova do que tentar “decorar” o PMBOK inteiro. enquanto Conduzir as Aquisições do Projeto é processo da Execução. Eu procurei. e me aproveitando inclusive dos exercícios para transmitir mais conhecimento. Eu não recomendo.com. CONSIDERAÇÕES FINAIS Espero que vocês tenham compreendido minha metodologia de trabalho para o PMBOK. até mesmo para adquirir uma visão mais “holística” do Guia. (D) Monitoramento e Controle / Iniciação. sempre frisando o mais importante da matéria. Nossa próxima aula é sobre Segurança da Informação. com o objetivo de arraigar melhor o que vimos aqui hoje. e força nos estudos! Victor Dalton Prof. respectivamente (I e II). tudo depende do seu cronograma. alternativa e). em um afã de querer acertar todas as questões. Grande abraço. Victor Dalton www. Assim.ORG . fazer o possível para transmitir o conteúdo teórico de Gerência de Projetos.CONCURSEIROSUNIDOS. e quiser ler aprofundadamente algumas áreas de conhecimento.estrategiaconcursos. (B) Execução / Iniciação. se você estiver com folga em seu cronograma de estudo. Também compreendo que. (C) Iniciação / Execução.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Sua participação foi principalmente em dois processos que envolviam (I) a determinação do orçamento e (II) a condução das aquisições do projeto. e quiser ler os capítulos iniciais do PMBOK com calma. Claro. Resposta certa. aí sim acho válido. Entretanto. componentes dos grupos (A) Planejamento / Monitoramento e Controle.

Gerenciamento do Tempo do Projeto. d) Planejamento. Execução e Monitoramento e controle. Gerenciamento de Aquisições do Projeto. c) Os recursos humanos e as aquisições.2012) São Áreas de Conhecimento do PMBOK: a) Gerenciamento dos Custos do Projeto. controlar as comunicações.ORG .CONCURSEIROSUNIDOS. e) Execução. Gerenciamento de Aquisições do Projeto. Victor Dalton www. Gerenciamento de Aquisições do Projeto. d) Gerenciamento dos Custos do Projeto. 3ª Questão) (FCC – INFRAERO – Analista Superior III – Analista de Sistemas/Gestor de TI – 2011) O PMBOK (4a edição) contém 47 processos de gerenciamento de um projeto. d) Desenvolver plano de gerenciamento de projeto e Orientar e gerenciar a execução são atividades (processos) que ocorrem na área de conhecimento Prof. Nesse contexto. Gerenciamento do Tempo do Projeto. 2ª Questão) (FCC – TJ/RJ – Analista Judiciário – Analista de Suporte – 2012) Quanto ao PMBOK.com. Planejamento e Execução.estrategiaconcursos. Planejamento e Execução. Gerenciamento da Iniciação do Projeto. Custos e Qualidade são os principais determinantes para o objetivo de um projeto. definir as atividades e desenvolver o plano de RH são. e) Gerenciamento do Controle do Projeto. e as respectivas áreas de conhecimento associadas a cada um.br 59 de 78 WWW. Gerenciamento do Tempo do Projeto. Planejamento e Planejamento. b) Monitoramento e controle. respectivamente.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 LISTA DE EXERCÍCIOS 1ª Questão)(ESAF – Analista de Finanças e Controle – Desenvolvimento de Sistemas da Informação . c) Gerenciamento do Planejamento do Projeto. b) Gerenciamento dos Custos do Projeto. é correto afirmar: a) Escopo. Gerenciamento das Contratações de Serviços de TI do Projeto. Gerenciamento do Tempo do Projeto. b) Todas as áreas de conhecimento são abordadas no grupo Monitoramento e Controle. pertencentes ao contexto dos grupos de processos a) Monitoramento e controle. Planejamento e Planejamento. as comunicações e a garantia da qualidade são áreas de conhecimento envolvidas mais intensamente com o grupo Planejamento. c) Planejamento. indicando também os 5 grupos em que os processos se distribuem. Tempo. Gerenciamento de Aquisições do Projeto.

o Termo de Abertura do Projeto é um resultado do Grupo de Processos e da Área de Conhecimento denominados. 6ª Questão) (FCC – TCM/PA – Técnico de Informática – 2010) Segundo o PMBOK.ORG . d) de Integração do Projeto. e) Planejamento e Gerenciamento da Integração. Tal é o gerenciamento a) do escopo do projeto. e) de riscos do projeto. d) Iniciação e Gerenciamento do Escopo.estrategiaconcursos. c) da qualidade do projeto.com. Victor Dalton www. c) das Comunicações do Projeto. 4ª Questão) (FCC – TRT/24ª Região – Analista Judiciário – Tecnologia da Informação – 2012) Descreve os processos relativos à garantia de que o projeto inclua todo o trabalho necessário e apenas o trabalho necessário. b) de tempo do projeto. d) de integração do projeto. b) da Qualidade do Projeto. Prof. 5ª Questão) (FCC – INFRAERO – Analista Superior III – Analista de Sistemas/Engenharia de Software – 2011) A área de conhecimento que possui pelo menos um processo em cada um de todos os cinco grupos de processos do PMBOK é a área de Gerenciamento a) de Tempo do Projeto. área esta que se faz presente em todos os grupos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Integração. Inclui a criação do EAP e a coleta de requisitos. e) de Recursos Humanos do Projeto. exceto no Encerramento.br 60 de 78 WWW. c) Planejamento e Gerenciamento do Escopo. b) Planejamento e Gerenciamento do Tempo. dentro do grupo Execução. Gerenciar o engajamento das partes interessadas e Controlar as comunicações são processos da área de conhecimento Comunicações.CONCURSEIROSUNIDOS. a) Iniciação e Gerenciamento da Integração. respectivamente. e) Identificar as partes interessadas.

Victor Dalton www. 8ª Questão) (FCC – TRE/CE – Técnico Judiciário – Operação de Computador . Definir as atividades. b) Coletar os requisitos.br 61 de 78 WWW. Prof. Identificar as partes interessadas. São processos desta área: a) Desenvolver o termo de abertura do projeto. d) das partes interessadas do projeto. Conduzir as aquisições. Realizar o controle integrado de mudanças. Uma delas é a de gerenciamento da integração do projeto. d) Gerenciar as comunicações. Gerenciar as comunicações. Encerrar o projeto ou fase. c) Mobilizar a equipe do projeto.com.ORG . Gerenciar a equipe do projeto. 10ª Questão) (ESAF – ATRFB – Informática – 2012) O Guia PMBOK na sua versão 4 apresenta as áreas de conhecimento. e) de recursos humanos do projeto.estrategiaconcursos. c) Sequenciar as atividades. o grupo de processos de planejamento inclui o processo a) Identificar as partes interessadas. e) Validar o escopo. Realizar a análise quantitativa dos riscos. c) de escopo do projeto. Definir o escopo. d) Controlar as aquisições. c) Desenvolver a equipe de projeto. 9ª Questão) (ESAF – ATRFB – Informática – 2012) Na versão 5 do Guia PMBOK. Realizar a garantia da qualidade.2012) A identificação das partes interessadas (stakeholders) em um projeto é classificada na área de conhecimento do PMBOK denominada gerenciamento a) dos custos do projeto. e) Orientar e gerenciar a execução do projeto. o grupo de processos Execução contém exclusivamente os processos: a) Definir as atividades. Coletar os requisitos. Controlar o cronograma. Realizar o controle integrado de mudanças. b) de aquisições do projeto.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 7ª Questão) (FCC – INFRAERO – Analista Superior III – Analista de Sistemas/Rede e Suporte – 2011) No PMBOK 5a edição. b) Orientar e gerenciar a execução do projeto. b) Coletar os requisitos.CONCURSEIROSUNIDOS.

d) na definição do escopo é criado um plano de gerenciamento do escopo do projeto que documenta como o escopo do projeto será definido.ORG . d) incluir 100% do trabalho definido pelo escopo do projeto. c) criar EAP se refere ao processo em que é feita a formalização da aceitação das entregas do projeto terminadas. Controlar os custos. em detalhes.2010) Sobre a Work Breakdown Structure (WBS) do PMBOK. 13ª Questão) (FCC – TRF 4ª Região – Analista Judiciário – Informática . as entregas do projeto e o trabalho necessário para criar essas entregas. e) na verificação do escopo é realizado o controle das mudanças no escopo do projeto e a subdivisão das principais entregas do projeto em componentes menores e mais facilmente gerenciáveis. 11ª Questão) (FCC – ARCE – Analista de Regulação – Analista de Sistemas 2012) O gerenciamento do escopo do projeto.com. a EAP (Estrutura Analítica do Projeto) criada deve a) apresentar os requisitos de negócio levantados nas entrevistas. 12ª Questão) (Cesgranrio – Banco Central do Brasil – Área 1 .estrategiaconcursos.br 62 de 78 WWW. Desenvolver o cronograma. c) contemplar o início e o término das atividades da fase de construção. verificado e controlado e como a estrutura analítica do projeto será criada e definida. e) Realizar o controle integrado de mudanças. de acordo com o PMBoK. Prof. O gerenciamento do escopo do projeto é dividido em 6 processos. inclui os processos necessários para garantir que o projeto inclua todo o trabalho necessário. Com base nisso.CONCURSEIROSUNIDOS. é correto afirmar: a) Descreve.TI – 2010) Um projeto de desenvolvimento de um sistema de informação está sendo conduzido de acordo com algumas práticas do PMBOK. b) mostrar a alocação financeira dos recursos humanos ao patrocinador. também conhecida no Brasil como Estrutura Analítica de Trabalho (EAP).Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 d) Desenvolver o plano de gerenciamento do projeto. Em relação a este assunto é correto afirmar que a) o gerenciamento do escopo do projeto trata principalmente da definição e controle do que está e do que não está incluído no projeto. b) no planejamento do escopo é criada uma declaração do escopo detalhada do projeto que servirá como a base para futuras decisões do projeto. Victor Dalton www. e) indicar os casos de uso que são mais críticos no sistema. e somente ele. para terminar o projeto com sucesso.

d) Focaliza seu trabalho na modelagem de sistemas e nos princípios da comunicabilidade e usabilidade. e) Program Evaluation and Review Technique (PERT) e Network Critical Paths (NCP). em que cada nível descendente da EAP representa uma definição cada vez mais detalhada do trabalho do projeto.2012) No PMBOK. restrições do projeto e objetivos do projeto. independentemente das estratégias e objetivos de negócios da organização. c) Calculation of Core Activities (CCA) e Network Critical Paths (NCP). 14ª Questão) (FCC – TCE/AM – Analista Técnico de Controle Externo – Tecnologia da Informação . Trata-se das técnicas a) Critical Path Method (CPM) e Technical Calculation Weighted Average(TCWA). enquanto a segunda usa o que se chama de valor esperado (ou média ponderada). A tabela a seguir mostra um exemplo de estimativa de duração das atividades. entregas do projeto. c) Inclui diretamente os documentos: limites do projeto.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 b) Fornece um entendimento comum do escopo do projeto a todas as partes interessadas no projeto e descreve os principais objetivos do projeto. Duas dessas técnicas são semelhantes e permitem calcular a duração do projeto.ORG .CONCURSEIROSUNIDOS. 15ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – Tecnologia da Informação – 2013) O Gerenciamento do tempo do projeto inclui os processos necessários para gerenciar o término pontual do projeto. Existem várias ferramentas e técnicas para desenvolver o cronograma do projeto. Prof. requisitos do projeto. Uma das técnicas utilizadas nessa etapa é a estimativa de três pontos conhecida como Program Evaluation and Review Technique (PERT).br 63 de 78 WWW. A primeira usa a duração mais provável. descrição do produto. Victor Dalton www. d) Critical Path Method (CPM) e Program Evaluation and Review Technique (PERT). b) Network Critical Paths (NCP) e Technical Calculation Weighted Average(TCWA).estrategiaconcursos.com. o processo de Desenvolver o Cronograma é o cerne do grupo de processos de Planejamento. Um dos processos de gerenciamento do tempo do projeto é o que permite estimar a duração das atividades. e) Subdivide o trabalho do projeto em partes menores e mais facilmente gerenciáveis.

o cálculo do tempo esperado (tE) é dado por a) (tO² + 4tM + 3tP) / 8 b) (tO + tM − tP) c) (tO + tM² − tP / 2) d) (tO + 4tM + tP) / 6 e) (tO + tM) ² / (tP / 6) 16ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – Tecnologia da Informação – 2013) Um dos processos de gerenciamento do tempo do projeto é o que permite desenvolver o cronograma do projeto.br 64 de 78 WWW.estrategiaconcursos.com.CONCURSEIROSUNIDOS.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Observando-se a tabela e utilizando-se o PERT. Prof. A figura a seguir mostra um fragmento de um diagrama de redes. Victor Dalton www. Uma das técnicas utilizadas no desenvolvimento do cronograma é a que permite mostrar o caminho crítico no diagrama de redes.ORG .

1 e 3. cronograma. c) do caminho crítico.1. 2.3.1 será 22 dias após o início do projeto. d) 1. a última data de término da atividade 3. e) da variação.4.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Considere que as datas de início e término de cada atividade referem-se à quantidade de dias passados desde o início do projeto. b) quantitativa de riscos. Por exemplo. Prof.estrategiaconcursos. e) 1.1 e 2. 2. o impacto correspondente nos objetivos do projeto se os riscos realmente ocorrerem.1.1. como o prazo e tolerância a risco das restrições de custo. Trata-se de Análise a) qualitativa de riscos. 17ª Questão) (FCC – MPE/RN – Analista de Tecnologia da Informação – Engenharia de Software/Desenvolvimento de Sistemas – 2010) Acerca do PMBOK.CONCURSEIROSUNIDOS. 2.2 e 3. além de outros fatores. 2.com.3.3.br 65 de 78 WWW. Victor Dalton www.ORG . escopo e qualidade do projeto. b) 1. avalia a prioridade dos riscos identificados usando a probabilidade deles ocorrerem.3.1.3.4 e 3. c) 1. No fragmento de diagrama de redes apresentado. o caminho crítico passa pelas atividades a) 3. d) de alternativas e tomada de decisão.3 e 1. 2.

Prof. Gerenciar a equipe do projeto − acompanhar o desempenho de membros da equipe. a documentação das ações necessárias para definir. Coletar os requisitos − definição e documentação das necessidades das partes interessadas para alcançar os objetivos do projeto. Monitorar e controlar o trabalho do projeto − acompanhamento.ORG . c) Desenvolver o plano de gerenciamento do projeto. e) Monitorar e controlar o trabalho do projeto. d) Realizar o controle integrado de mudanças. h. Desenvolver o termo de abertura do projeto − desenvolvimento de um documento que formalmente autoriza um projeto ou uma fase e a documentação dos requisitos iniciais que satisfaçam as necessidades e expectativas das partes interessadas.com. i. 19ª Questão) (FCC – BANESE – Técnico Bancário III – Informática 2012) Associe as atividades e/ou processos com as áreas de gerenciamento do guia PMBoK: a. b) Desenvolver o termo de abertura do projeto. Orientar e gerenciar o trabalho do projeto − realização do trabalho definido no plano de gerenciamento do projeto para atingir os objetivos do projeto. Planejar o gerenciamento das comunicações − desenvolver uma abordagem apropriada e um plano de comunicações do projeto com base nas necessidades de informação e requisitos das partes interessadas. resolver questões e gerenciar mudanças para otimizar o desempenho do projeto. e.estrategiaconcursos. b. integrar e coordenar todos os planos auxiliares é elaborada no processo a) Orientar e gerenciar a execução do projeto. Criar a EAP − subdivisão das entregas e do trabalho do projeto em componentes menores e mais facilmente gerenciáveis.CONCURSEIROSUNIDOS. e nos ativos organizacionais disponíveis. fornecer feedback. f. Controlar as comunicações − Monitorar e controlar as comunicações no decorrer de todo o ciclo de vida do projeto para assegurar que as necessidades de informação das partes interessadas do projeto sejam atendidas. revisão e regulação do progresso para atender aos objetivos de desempenho definidos no plano de gerenciamento do projeto.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 18ª Questão) (FCC – BANESE – Técnico Bancário III – Informática 2012) Na área de conhecimento Gerenciamento da Integração de Projetos do PMBOK. c. Determinar o orçamento − agregação dos custos estimados de atividades individuais ou pacotes de trabalho para estabelecer uma linha de base autorizada dos custos. d. Victor Dalton www. preparar.br 66 de 78 WWW. g.

21ª Questão) (FCC – ARCE – Analista de Regulação – Analista de Sistemas 2012) No PMBoK. d) a eliminação de causas de defeitos e o controle da qualidade. Os processos de gerenciamento da qualidade do projeto incluem planejar o gerenciamento da qualidade e realizar a) as políticas de qualidade e o monitoramento dos resultados. e) a maturidade da qualidade e o controle dos defeitos da qualidade.CONCURSEIROSUNIDOS. e) Criar EAP. Desenvolver a declaração do escopo preliminar do projeto.estrategiaconcursos.ORG . Desenvolver o termo de abertura do projeto. Prof.br 67 de 78 WWW. d) Planejar o escopo do projeto. Identificar interessados. b) Definir o escopo do projeto.adaptada) São processos do Grupo de Processos de Iniciação do PMBOK: a) Desenvolver o termo de abertura do projeto. de modo que o projeto atenda às necessidades que motivaram sua realização.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Associe as atividades e/ou processos com as áreas de gerenciamento do guia PMBoK: 20ª Questão) (ESAF – Analista de Finanças e Controle – Desenvolvimento de Sistemas de Informação – 2012 . Victor Dalton www.com. os processos de gerenciamento da qualidade do projeto incluem todas as atividades da organização executora que determinam as responsabilidades. c) as atividades de qualidade e o monitoramento dos defeitos. c) Desenvolver o termo de abertura do projeto. Criar EAP. Planejar o escopo do projeto. b) a garantia da qualidade e controlar a qualidade. os objetivos e as políticas de qualidade.

CONCURSEIROSUNIDOS. 24 O método do caminho crítico tem aplicabilidade direta no processo de desenvolvimento de cronograma. sua governança de TI e qualidade de seu software. Prof. 22 Em um projeto de longo prazo executado no âmbito da organização. julgue os itens que se seguem.a edição).Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 (CESPE – TRE/RJ – Analista Judiciário – Análise de Sistemas 2012) Acerca de gerenciamento de projetos aderente ao PMBOK 4 e de sua relação com a gestão estratégica da organização.com. relativos a gerenciamento de projetos. a qual poderá subsidiar decisões sobre mudanças desses custos.br 68 de 78 WWW. 27 A natureza temporária do projeto implica a existência de início e término definidos para o projeto e que o seu término seja alcançado mesmo quando se concluir que os objetivos definidos não serão ou não poderão ser atingidos. 26 A estimativa dos custos é o processo mediante o qual são agregados custos de atividades individuais ou pacotes de trabalho. inclusive os estimados. e é estabelecida uma linha de base autorizada dos custos. seu gerenciamento de serviços.2013) Com base no Guia PMBOK (5.ORG . (CESPE – SERPRO – Analista – Administração de Serviços de Tecnologia da Informação .estrategiaconcursos. 23 Atividades de natureza operacional executadas na organização são mais frequentes no ciclo de vida de um produto do que no ciclo de vida de um projeto. Victor Dalton www. é esperado que a amplitude temporal dos processos do grupo de iniciação seja mais próxima dos processos do grupo de encerramento do que dos processos do grupo de planejamento. julgue os itens a seguir. 25 O gerenciamento de projetos tem por objetivo primordial a satisfação de requisitos de software demandados pelos clientes da área de TI.

estrategiaconcursos. integral ou parcial. à alocação. 30 A garantia da qualidade e o controle da qualidade são processos compreendidos no monitoramento e controle de um projeto.com. 29 A criação da estrutura analítica do projeto é um processo executado pela área de integração durante a fase de planejamento. 34 No gerenciamento de riscos de projeto. 32 A documentação de requisitos consiste em uma saída do processo de coleta de requisitos. a preparação. a organização. enquanto o processo relativo ao desenvolvimento do termo de abertura do projeto compõe a área de escopo e tem por objetivo autorizar o início do projeto ou de uma fase.CONCURSEIROSUNIDOS. equipamentos ou suprimentos necessários à realização da atividade. a execução e o encerramento do projeto. 31 O processo referente ao encerramento de projeto ou fase compõe a área de integração do projeto e tem por objetivo finalizar formalmente o projeto ou a fase. o planejamento das respostas aos riscos inclui as estratégias de compartilhamento e melhoramento. a auditoria dos requisitos de qualidade e dos resultados das medições de controle da qualidade. as quais se referem. O primeiro processo abrange o monitoramento e o registro dos resultados da execução e o segundo.ORG .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 28 Todos os projetos podem ser mapeados mediante a estrutura de ciclo de vida. logo após a realização do processo de coleta dos requisitos. que compreende o início. da propriedade da oportunidade e ao aumento da probabilidade do impacto de uma oportunidade. 33 A estimativa dos recursos da atividade é um processo de recursos humanos cujo objetivo é estimar os tipos e quantidades de material. respectivamente. e também consiste em uma entrada do processo de validação do escopo.br 69 de 78 WWW. pessoas. Victor Dalton www. Prof.

estrategiaconcursos. se fornece feedback. nesse método. 36 O gerenciamento do engajamento das partes interessadas é um processo do grupo de iniciação da área de recursos humanos cujo objetivo é promover a interação entre as partes interessadas. 38 Na área de aquisições. (CESPE – SAEB/SEI Informações . realização. os processos de planejamento. com o objetivo de otimizar o desempenho do projeto e averiguar se o trabalho realizado está de acordo com os objetivos de desempenho definidos no plano de gerenciamento do projeto. atendendo às suas necessidades. administração e encerramento de aquisições interagem entre si. se resolvem questões e se gerenciam mudanças.CONCURSEIROSUNIDOS. a folga pode ser negativa ou igual a zero.br 70 de 78 WWW. com vistas a garantir que sejam usados os padrões de qualidade e as definições operacionais apropriadas. 37 Na execução do processo garantia da qualidade. 40 O método do caminho crítico é utilizado para calcular as datas de início e de término de um projeto antes do início das atividades. Victor Dalton www.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 35 Monitorar e controlar o trabalho do projeto é o processo mediante o qual se acompanha o desempenho de membros da equipe. mas não interagem com processos de outras áreas. e solucionar os problemas ̀ medida que ocorrerem. conforme a ISO/IEC 9001:2000. Prof. promove-se a auditoria dos requisitos de qualidade.com.ORG .2012) – Documentação e Disseminação das 39 A coleta de requisitos é um processo que pertence ao gerenciamento de integração de projetos e que visa obter e documentar as necessidades dos stakeholders para alcançar os objetivos do projeto.

estrategiaconcursos. (CESPE – TCE/RO – Analista de Informática . o termo de abertura do projeto. verifica-se que os objetivos do projeto não poderão ser atingidos ou que o projeto não é mais necessário. um projeto é um esforço temporário empreendido para criar um produto ou serviço exclusivo. relativos a gerenciamento de projetos de TI. e os orçamentos autorizados podem servir de base para medir o desempenho de custo dos projetos. julgue os itens a seguir. 46 É exemplo de projeto a criação e manutenção contínua de um processo para a prestação de serviços aos usuários em suas estações de trabalho.CONCURSEIROSUNIDOS.2013) De acordo com o PMBOK. Entre outras situações.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 41 O orçamento é o processo de agregação dos custos estimados das atividades por pacotes de trabalhos ou individuais. 45 O grupo de processos de iniciação é o responsável pelo monitoramento e controle do projeto. seu término acontece quando: atingem-se os objetivos do projeto. programas ou mesmo outros portfólios. 48 Para o desenvolvimento do plano de gerenciamento do projeto. é necessário que esse processo receba.com. como uma de suas entradas. 47 O processo de mobilização da equipe do projeto integra o grupo de processo de planejamento em um projeto. Victor Dalton www. 43 O gerenciamento de projetos pode ser realizado por meio do gerenciamento de portfólios. (CESPE – ANCINE – Analista Administrativo – Área 2 .br 71 de 78 WWW.ORG . 42 De acordo com o PMBOK. Prof.2013) 44 O grupo de processos de execução é o responsável pelos resultados das medições do controle de qualidade e por auditar os requisitos de qualidade. os quais podem agrupar projetos.

Trata-se do Gerenciamento a) das comunicações do projeto. julgue os itens seguintes. 51 Em uma organização de matriz fraca.2013) No que se refere a gerenciamento de projetos e PMBOK. 50 Considera-se um fator ambiental da empresa a tolerância aos riscos das partes interessadas em um projeto.2013) É um capítulo do PMBOK 4a edição que inclui processos. entre outros.estrategiaconcursos. c) de custos do projeto. b) gerenciar a equipe do projeto − validar o escopo − estimar os recursos das atividades.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 49 O dicionário da estrutura analítica do projeto inclui descrição do escopo.com. entregas e critérios de aceitação do projeto. (CESPE – BACEN – Analista – Área 1:Desenvolvimento . d) do escopo do projeto. são. 52 Para criar o diagrama de rede. Prof. 53ª Questão) (FCC – TRT/18ª Região – Analista Judiciário – Tecnologia da Informação . um de Execução e outro de Monitoramento e Controle a) estimar as durações das atividades − controlar a qualidade − controlar as aquisições. b) de integração do projeto. 54ª Questão) (FCC – TRT/18ª Região – Analista Judiciário – Tecnologia da Informação 2013) No PMBOK 4a edição. tais como: Coletar requisitos e Criar EAP.ORG . é necessário criar primeiramente a lista de atividades.br 72 de 78 WWW. um processo do grupo de processos de Planejamento. respectivamente. o gerente de projetos e o gerente funcional compartilham igualmente o poder. e) da qualidade do projeto. Victor Dalton www.CONCURSEIROSUNIDOS.

2013) De acordo com o guia PMBoK 4a edição. identificando as áreas que requerem mudanças por terem inserido erros no projeto. facilitando as atualizações ao plano de gerenciamento.br 73 de 78 WWW.2014) São entradas do processo Criar a Estrutura Analítica do Projeto (EAP). Victor Dalton www.com. Prof. 55ª Questão) (FCC – TRT/12ª Região – Analista Judiciário – Tecnologia da Informação . a necessidade do Gerenciamento da Integração do projeto fica evidente em situações em que processos distintos interagem. descritas na quarta edição do guia PMBoK: a) Termo de Abertura do Projeto. c) o grupo de processos de planejamento fornece ao grupo de processos de execução. Fornece à equipe uma compreensão clara da saúde final do projeto. Documentação dos Requisitos e Ativos de Processos Organizacionais. e) as atividades necessárias para gerenciar documentos e assegurar consistência no plano de gerenciamento do projeto e entregas envolvem o gerenciamento da integração. d) controlar as aquisições − controlar o escopo − realizar a análise qualitativa de riscos. do Grupo de Processos de Planejamento. se mudanças ocorrerem durante o progresso do mesmo.ORG .estrategiaconcursos. tempo e riscos.CONCURSEIROSUNIDOS. Em relação ao Gerenciamento da Integração.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 c) identificar as partes interessadas − determinar o orçamento − validar o escopo. 56ª Questão) (FCC – TRT/2ª Região – Analista Judiciário – Tecnologia da Informação . um plano de gerenciamento do projeto documentado no início do projeto. ou ao planejamento estratégico de longo prazo que considera problemas ou oportunidades futuras. b) o monitoramento é um aspecto do gerenciamento da integração que é executado ao término do projeto. b) Declaração do Escopo do Projeto. é INCORRETO afirmar que a) uma estimativa de custos necessária para um plano de contingência envolve a integração dos processos nas áreas de conhecimentos de custos. Documentação de Requisitos. e) realizar a análise quantitativa de riscos − conduzir aquisições – controlar as comunicações. d) as entregas do projeto podem precisar ser integradas às operações em progresso da organização executora ou da organização do cliente. Registro das Partes Interessadas.

a) Como será feito o fechamento do projeto. 58ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013) É correto afirmar que criar a Estrutura Analítica do Projeto (EAP) é: a) o processo de subdivisão das entregas e do trabalho do projeto em componentes menores e de gerenciamento mais fácil. ( ) É realizado desde o início do projeto até o seu término. c) o mesmo que identificar e documentar as dependências das atividades do projeto.br 74 de 78 WWW. Atributos das Atividades. assinale a alternativa que apresenta a sequência correta. Declaração do Escopo do Projeto e Ativos de Processos Organizacionais. d) Histórico das atualizações do plano. e) o mesmo que estimar o tempo para completar cada atividade. d) Termo de Abertura do Projeto. em seguida. Victor Dalton www.CONCURSEIROSUNIDOS. Dicionário da EAP e Ativos de Processos Organizacionais.estrategiaconcursos. b) Os perfis da equipe de projetos. matéria-prima. e) As responsabilidades da equipe do projeto. Prof.ORG . ( ) Inclui a atividade de manter a integridade das linhas de base. e) Documentação dos Requisitos. 57ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013 – prova anulada) Assinale a alternativa que apresenta um item constante do termo de abertura de projeto. d) o mesmo que estimar os recursos necessários para executar cada atividade (pessoas. c) Nomeação do gerente de projeto. Lista dos Marcos. 59ª Questão) (CETRO – ANVISA – Analista Administrativo – Área 5 2013) Quanto ao processo Controle Integrado de Mudanças. b) o processo de identificar as atividades necessárias para produzir as entregas do projeto. Saídas dos Processos de Planejamento. Fatores Ambientais da Empresa e Ativos de Processos Organizacionais. equipamento).Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 c) Lista de Atividades.com. marque V para verdadeiro ou F para falso e.

I. c) iniciação define e refina os objetivos e as ações necessárias para alcançar os objetivos para os quais o projeto foi idealizado. III. O processo Criar EAP realiza a subdivisão das principais entregas do projeto e do trabalho do projeto em componentes menores e mais facilmente gerenciáveis. Prof.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 ( ) Está focado na especificação das entregas e dos processos. A Definição de Atividades é o processo que identifica as atividades específicas que precisam ser realizadas para produzir as várias entregas do projeto. é correto afirmar que o grupo de processos de a) encerramento conduz à conclusão das variações em relação ao plano de gerenciamento do projeto. visando a tomar ações corretivas. visando ações preventivas.ORG . serviços e resultados e identifica os seus possíveis fornecedores. ( ) Pode rejeitar todas as ações corretivas recomendadas. e) planejamento define e autoriza o projeto ou uma fase do projeto ao longo do período. A Definição de Escopo estabelece o processo que desenvolve uma declaração detalhada do escopo do projeto como base para as futuras decisões a respeito dele. considere as afirmativas a seguir. a) F/ V/ V/ F b) F/ F/ F/ V c) F/ F/ V/ F d) V/ V/ F/ V e) V/ F/ V/ F 60ª Questão) (UEL – SEFAZ/PR – Auditor Fiscal – 2012) Sobre a estrutura do modelo PMBOK.CONCURSEIROSUNIDOS. O Sequenciamento de Atividades é o processo que documenta os requisitos de produtos. II.estrategiaconcursos.br 75 de 78 WWW.com. d) monitoramento e controle formaliza a aceitação do produto. 61ª Questão) (UEL – SEFAZ/PR – Auditor Fiscal – 2012) Sobre os processos de planejamento do PMBOK. IV. b) execução integra pessoas e outros recursos para realizar o plano de gerenciamento do projeto. serviço ou resultado. Victor Dalton www.

CONCURSEIROSUNIDOS. b) Somente as afirmativas I e IV são corretas. que inclui o gerenciamento da relação com os patrocinadores. de processos de Planejamento e no de 63ª Questão) (FCC – TCE/RS – Auditor Público Externo – Técnico em Processamento de Dados – 2014) A área de controladoria de uma empresa solicitou explicações ao gerente da área de TI sobre os motivos pelos quais um projeto que havia sido parcialmente finalizado há três meses. Considerando que um gerente de projetos está praticando o PMBoK v5 em seus projetos. ocorre (A) nos grupos de processos de gerenciamento de Riscos e da Comunicação do projeto. a) Somente as afirmativas I e II são corretas. II e III são corretas.ORG . (E) somente no grupo Monitoramento e Controle. ficando sujeitos às cobranças de consultoria de implantação somente os módulos ainda não finalizados.estrategiaconcursos. exceto no Encerramento do projeto. o problema da cobrança indevida ocorreu em função de falta ou falha na execução de processos do grupo de processos de Prof. (C) no processo Realizar a garantia da qualidade. (D) em todos os grupos de processos do PMBoK. 62ª Questão) (FCC – TCE/RS – Auditor Público Externo – Técnico em Processamento de Dados – 2014) O gerenciamento da relação com os patrocinadores de projetos ganhou especial importância no PMBoK v5. III e IV são corretas. continuava remunerando um fornecedor pelos serviços de consultoria de implantação para um módulo do sistema já implantado. c) Somente as afirmativas III e IV são corretas. a área de conhecimento de gerenciamento dos stakeholders.br 76 de 78 WWW. d) Somente as afirmativas I. O gerente de TI consultou o contrato que havia sido estabelecido com o fornecedor e confirmou que as cobranças de serviços de consultoria de implantação deveriam ser suspensas assim que realizado o aceite da implantação e iniciado o faturamento do serviço de suporte e manutenção para cada módulo do sistema que fosse concluído.com. e) Somente as afirmativas II. Victor Dalton www. (B) como um processo em todas as áreas de conhecimento do PMBoK. Considerando que na empresa em questão aplica-se o PMBoK v5.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 Assinale a alternativa correta.

Tratase da Técnica de (A) Corrente Crítica (TCC). (C) Iniciação.com. (D) Planejamento.ORG .CONCURSEIROSUNIDOS. apenas. a área de conhecimento em gerenciamento de projetos conhecida como Gerenciamento dos Custos do Projeto contém os processos: Estimar os Custos. Victor Dalton www. (E) Determinar Orçamento. Determinar Orçamento e Controlar os Custos. (E) Caminho Crítico (TCC). tempo otimista (tO) e tempo pessimista (tP). (C) Estimativa Parametrizada (TEP).estrategiaconcursos. (D) Análise de Reserva (TAR).Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 (A) Monitoramento e Controle. (C) Determinar Orçamento e Controlar os Custos. 65ª Questão) (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia da Informação – 2015) No PMBoK 4a edição. (E) Encerramento. (B) Execução. (D) Estimar os Custos e Determinar Orçamento. 66ª Questão) (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia da Informação – 2015) Um analista da área de Tecnologia da Informação criou uma Matriz de Probabilidade e Impacto para classificar os Prof. apenas. Dentre estes.br 77 de 78 WWW. para se estimar a duração das atividades de um projeto de software pode-se utilizar uma técnica que considera as incertezas das estimativas e os riscos. (B) Estimar os Custos. (B) Revisão e Avaliação de Programa (PERT). Esta técnica usa três estimativas para definir uma faixa aproximada para a duração de uma atividade: tempo mais provável (tM). 64ª Questão) (FCC – TCM/GO – Auditor de Controle Externo – Informática – 2015) Segundo o Guia PMBoK 4a edição. faz (ou fazem) parte do grupo de processos de planejamento: (A) Estimar os Custos e Controlar os Custos.

e 57.e 40.a 16.c 42.c 50. 67ª Questão) (FCC – TRT/MG – Analista Judiciário – Tecnologia da Informação – 2015) Andrew. respectivamente (I e II).CONCURSEIROSUNIDOS.c 51.a 21.c 28.e 61.b 65. componentes dos grupos (A) Planejamento / Monitoramento e Controle.c 47.c 7.c 58. analista de TI do Tribunal Regional do Trabalho. Como esse Analista segue à risca o PMBoK 4a edição.e 59.e 23.a 29.br 78 de 78 WWW.com.d 3.e 45.a 13.ORG 9.c 34.e 4.c 67.d 63.d 10.a Prof.e 49.c 32. (D) Identificar os Riscos.a 12.a 20. ele participou de processos que são.c 54.a 27. (B) Execução / Iniciação. (E) Planejamento / Execução.e 2.e 55.c 17.d 18.e 36.d 24. participou de um projeto que seguiu as melhores práticas do PMBoK 5ª edição. (B) Planejar as Respostas aos Riscos.b .b 66.c 60.d 15.e 48.c 44. GABARITO 1.e 39.e 64. (C) Iniciação / Execução.e 46.c 38.b 11.a 14. (E) Monitorar e Controlar os Riscos. (C) Realizar a Análise Qualitativa dos Riscos.c 53.d 6. Assim.c 37.d 26. Victor Dalton www. (D) Monitoramento e Controle / Iniciação.e 8.c 30.c 62.b 19.c 33. Sua participação foi principalmente em dois processos que envolviam (I) a determinação do orçamento e (II) a condução das aquisições do projeto.d 25.estrategiaconcursos.e 41. esta matriz foi utilizada como técnica (ou ferramenta) do processo (A) Realizar a Análise Quantitativa dos Riscos.c 52.e 43.b 31.d 22.e 35.e 56.b 5.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 01 riscos e priorizar as respostas a eles.

ORG .CONCURSEIROSUNIDOS.2016 (Gestão Tributária) Professor: Victor Dalton WWW.Concurseiros Unidos Maior RATEIO da Internet Aula 02 Tecnologia da Informação p/ ICMS/SP .

adoro o tema. Valorize o trabalho de nossa equipe adquirindo os cursos honestamente através do site Estratégia Concursos .-) Prof. que altera. violam a lei e prejudicam os professores que elaboram os cursos.estrategiaconcursos.ORG .6 Firewall 1. Victor Dalton www.610/98.5 VPN 1. Grupos de rateio e pirataria são clandestinos. nos termos da Lei 9. e. gosto muito do conteúdo da aula de hoje.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 AULA 2: Segurança da Informação SUMÁRIO PÁGINA Apresentação 1.7 Outras boas práticas de segurança da informação Exercícios Comentados Considerações Finais Lista de Exercícios Gabarito 1 2 2 4 16 38 33 43 49 55 105 106 137 Olá amigos e amigas! Que bom estarmos juntos novamente! Particularmente.4 Backup 1. Proteção a redes de computadores 1. justamente por isso.CONCURSEIROSUNIDOS.br 1 de 137 WWW. atualiza e consolida a legislação sobre direitos autorais e dá outras providências. Criptografia e ameaças trazem muitos conceitos e ideias que estão mais envolvidos com o nosso dia a dia do que a gente pensa.com.2 Ameaças 1. Podemos começar? Observação importante: este curso é protegido por direitos autorais (copyright).3 Criptografia 1.1 Considerações iniciais 1.

ela deve ser protegida com adequação. nos quais se incluem políticas.ORG . a informação trafega pela rede mundial de computadores. Victor Dalton www. maximizar o ROI e as oportunidades de negócio.br 2 de 137 WWW.1 Considerações iniciais Nos dias atuais.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 SEGURANÇA DA INFORMAÇÃO 1. Diferentemente de outros ativos. aplicados com o intuito de proteger a informação dos vários tipos de ameaças. funções de software e hardware e estruturas organizacionais. PROTEÇÃO A REDES DE COMPUTADORES 1. Nesse contexto. ou até mesmo conversada. A norma ISO 27002 ressalta que a informação é um ativo muito valioso para uma organização. armazenada em via eletrônica. escrita em papel. processos. Isto posto. Destaque para a tríade da segurança da informação: Prof.estrategiaconcursos. Por causa disso. ou simplesmente Internet. para garantir a continuidade do negócio em caso de desastre.CONCURSEIROSUNIDOS.com. ela pode ser impressa. diversos recursos para proteger a informação e as redes de computadores precisam ser empregados. Nesse ambiente convivem elementos bem e mal intencionados. a segurança da informação é um conjunto de controles.

Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Segundo a norma: Confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. • Interna: O acesso livre a este tipo de informação deve ser evitado. • Confidencial: Informação restrita aos limites da empresa. as informações se classificam como pública. Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. e cuja integridade não é vital. • Secreta: Informação crítica para as atividades da empresa. • Pública: Informação que pode vir a público sem maiores consequências danosas ao funcionamento normal da empresa.estrategiaconcursos. mesmo que não seja vital.ORG . Sua integridade é importante. confidencial.br 3 de 137 WWW. A segurança desse tipo de informação é vital para a companhia. embora as consequências do uso não autorizado não sejam por demais sérias. cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número reduzido de pessoas.com. Integridade: Salvaguarda da exatidão e completeza da informação e dos métodos de processamento. interna. a perdas financeiras ou de confiabilidade perante o cliente externo.CONCURSEIROSUNIDOS. e eventualmente. Para Laureano e Moraes (Segurança Como Estratégia de Gestão da Informação). secreta. Victor Dalton www. Prof. cuja divulgação ou perda pode levar a desequilíbrio operacional.

Alguns vírus apenas se replicam.estrategiaconcursos. rs).br 4 de 137 WWW.ORG . causam danos. Malware são programas desenvolvidos para executar atividades maliciosas em um computador. sobrecarregar uma rede e levar uma máquina a ser formatada. Vejamos: 1. Victor Dalton www.2 Ameaças A Internet é um cesto cheio dos mais diversos tipos de golpes e ameaças.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 1. se espalhando ao se anexar a outros programas. até mesmo programas legítimos que. Vírus simples Prof. em virtude de falhas em seu código. podem ser classificados como malware.com. Para facilitar o entendimento do cidadão (e a cobrança em concursos. esses golpes e ameaças recebem uma série de classificações.2.CONCURSEIROSUNIDOS. Lato sensu.1 Malware Oriundo da expressão “Malicious Software”. outros podem trazer danos maiores como corromper arquivos. Os principais tipos de malware são: Vírus: um vírus de computador é um programa capaz de se replicar e opera sem o consentimento do usuário. Outras variedades de vírus são os vírus de boot capazes de danificar áreas responsáveis por carregar o sistema operacional e os vírus de macro que podem causar alterações em documentos.

depois que ele se espalha. a rotina de decriptação continua a ser a mesma. o devolve o controle para o programa hospedeiro. Victor Dalton www. o vírus apresentará um novo módulo de encriptação e um novo corpo.ORG . O vírus pode se replicar inúmeras vezes. Sendo assim.br 5 de 137 WWW. para que este não seja detectado por um antivírus. Em uma variante de um vírus polimórfico o módulo de decriptação aparece em claro e o corpo do vírus aparece encriptado. se espalhando da mesma forma que um vírus simples.CONCURSEIROSUNIDOS. Prof. Um vírus encriptado consiste de uma rotina de decriptação e um corpo encriptado que. embaralhando o vírus. logo. No corpo do vírus estão presentes a rotina do vírus em si e um módulo de mutação responsável por gerar o módulo de encriptação e um novo módulo de decriptação que terá uma nova chave. mas com o diferencial de encriptar o corpo do vírus com uma nova chave de encriptação. o corpo do vírus toma conta da máquina. Se um usuário executa um vírus. dificultando a detecção por assinaturas de vírus. inicia a fase de decriptação. Essa sequência também é chamada de assinatura do vírus. o que dificulta a detecção. o antivírus pode facilmente localizá-lo por uma sequência de bits característica.com.estrategiaconcursos. os vírus polimórficos alteram tanto a rotina de encriptação quanto a rotina de decriptação. ao infectar um arquivo. Vírus encriptado A ideia do vírus encriptado é esconder esta assinatura fixa.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Um vírus simples. visto que o módulo de encriptação foi alterado. logo. ao ser executado. que funciona normalmente. esse vírus pode tomar conta do computador da vítima e se anexar em outro arquivo. que só se replica e é fácil de ser detectado. Vírus Polimórficos Os vírus polimórficos são capazes de criar uma nova variante a cada execução e diferentemente dos vírus encriptados que encriptam apenas o código do vírus e permanecem com a mesma rotina de decriptação. Após esta fase. mas nunca se modifica. e. No entanto. os antivírus passaram a checar por sequências de bytes que identificassem a rotina de decriptação.

Dessa forma uma nova geração do vírus parecia completamente diferente das anteriores. Vírus de macro são parecidos com outros vírus em vários aspectos: são códigos escritos para que. Vírus de macro Os vírus de macro vinculam suas macros a modelos de documentos e a outros arquivos de modo que. as primeiras instruções executadas serão as do vírus. mas na maioria das vezes são detectados devido ao baixo número de vírus polimórficos eficientes.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Em geral. sob certas condições. mas são capazes de criar novas gerações diferentes.estrategiaconcursos. O processo de emulação é também chamado de sandbox e é capaz de detectar o vírus caso o código decriptado permaneça o mesmo. onde os compiladores C são instalados junto com o sistema. Victor Dalton www. Eles possuem um corpo único que carregava dados como código. Vírus Metamórficos Os vírus polimórficos podem apresentar problemas durante as suas mutações e podem até demorar a serem detectados. este código se "reproduz". fazendo uma cópia dele mesmo. por não possuir um decriptador ou um corpo de vírus constante. mas a semântica não. Os vírus metamórficos evitam gerar instâncias parecidas com a anterior.CONCURSEIROSUNIDOS.com. Como outros vírus.br 6 de 137 WWW. eles Prof. Os desenvolvedores de vírus implementam novos códigos para dificultar o trabalho do pesquisador. visto que o código muda. Esse tipo de técnica pode ser mais destrutiva em ambientes baseados em Unix. para realizar a detecção dessas ameaças os softwares antivírus fazem a decriptação do vírus usando um emulador ou realizam uma análise de padrão do corpo do vírus.ORG . ele possuía seu código decompilado e quando encontrava um compilador compilava o código. O W32/Apparition foi o primeiro vírus de 32 bits a não utilizar decriptadores polimórficos para realizar mutações. Os vírus metamórficos são capazes de mudar o próprio corpo. O vírus inseria e removia código desnecessário ao código fonte e se recompilava. quando um aplicativo carrega o arquivo e executa as instruções nele contidas.

Pode ser automaticamente executado.br 7 de 137 WWW. os que compõe o Microsoft Office (Excel. Ainda cabe trazer a classificação de vírus segundo a CERT. Prof. efetuar ligações telefônicas e drenar a carga da bateria. que o usuário entre no micro. Os vírus de boot costumam ter alto poder de destruição. como um arquivo anexo ou como parte do próprio e-mail escrito em formato HTML. escrito em linguagem de macro. inclusive. impedindo. fazendo com que seja executado. rs). Essa área é onde se encontram arquivos essenciais ao sistema. dependendo da configuração do navegador Web e do programa leitor de e-mails do usuário. A infecção ocorre quando um usuário permite o recebimento de um arquivo infectado e o executa.ORG . E mais algumas classificações: Vírus de Boot: Vírus que se infecta na área de inicialização dos disquetes e de discos rígidos (são vírus bem antigos. Word e PowerPoint. apresentar uma mensagem ou fazer qualquer coisa que um programa possa fazer. Após infectar o celular.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 podem ser escritos para causar danos. Victor Dalton www.BR: Vírus propagado por e-mail: recebido como um arquivo anexo a um e-mail cujo conteúdo tenta induzir o usuário a clicar sobre este arquivo. Vírus de script: escrito em linguagem de script. Vírus de telefone celular: vírus que se propaga de celular para celular por meio da tecnologia bluetooth ou de mensagens MMS (Multimedia Message Service). entre outros). Quando entra em ação. remover ou transmitir contatos da agenda.estrategiaconcursos.CONCURSEIROSUNIDOS.com. e recebido ao acessar uma página Web ou por e-mail. Vírus de macro: tipo específico de vírus de script. por exemplo. infecta arquivos e programas e envia cópias de si mesmo para os e-mails encontrados nas listas de contatos gravadas no computador. o vírus pode destruir ou sobrescrever arquivos. como VBScript e JavaScript. além de tentar se propagar para outros celulares. que tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem como.

ORG . Além disso. cuja principal característica é a inteligência. mas também mais difíceis de serem detectados e removidos. O computador que está configurado para executar automaticamente esse arquivo em mídias removíveis pode ser contaminado apenas com a inserção do pendrive no computador. pode causar danos sem a ativação pelo usuário. Vírus Multipartite: misto dos vírus de Boot e de Programas. passando de um sistema a outro.OVL e . Um worm. para se autorreplicar. O computador infectado por um bot pode ser chamado de zumbi.CONCURSEIROSUNIDOS. Vírus Stealth (Vírus Invisíveis): um dos mais complexos da atualidade. enquanto o vírus é executado por uma ação explícita do usuário (como um clique duplo no arquivo malicioso). sem. Por Prof. mesmo que o usuário “não tenha feito nada”. Emprega técnicas para evitar sua detecção durante a varredura de programas antivírus. necessariamente. temporariamente se auto remover da memória.br 8 de 137 WWW. com extensão . como . por exemplo.normalmente . pois pode ser controlado remotamente.COM. E prossigamos com outros malwares! Worm (importante!): worms são programas autorreplicantes. Propaga-se de maneira similar ao worm. Victor Dalton www. O arquivo malicioso será executado.DLL. precisa estar em execução.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Vírus de Programa: infectam . é que. o worm explora vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. O que difere o worm de um vírus.estrategiaconcursos. e algumas outras extensões.inf em um pendrive. diferentemente dos vírus. como. Compreendeu? Bot e Botnet: Bot é um programa que dispões de mecanismos com o invasor que permite que ele seja controlado remotamente.os arquivos executáveis.EXE e . utilizar um arquivo hospedeiro. sem o conhecimento do dono.com. O worm é executado ou não é? Todo programa em um computador precisa ser executado. contaminando outros arquivos e/ou discos. Ex: execução do arquivo infectado autorun. Eles infectam ambos: arquivos de programas e setores de boot. por exemplo. o que os tornam muito mais eficazes na tarefa de se espalhar.

O objetivo do rootkit não é obter acesso privilegiado. do tipo que registra os movimentos de mouse de um usuário. O objetivo é vender os cliques que o usuário faz nessas páginas. na verdade. também abrem pop-ups indesejados. do tipo que captura o que o usuário digita. o que gera lucro para o criador do hijacker.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 exemplo. daqueles que mostram propagandas para o usuário. mas que. Spyware: Spyware é um programa que monitora atividades de um sistema e envia a terceiros. arquivos que se passam por um programa desejável. Cavalo de Tróia: programas impostores. Podem ser keyloggers. pelo Comitê Gestor de Internet do Brasil (CGI. uma tabela com características das ameaças. abaixo. ou adwares. Backdoor: É um programa que permite o retorno de um invasor a um computador comprometido. muitas vezes. permitindo o acesso remoto futuro na máquina. zumbis podem ser utilizados para realizar ataques DDos e para envio de spam. Segue. Hijacker: é uma variação de Cavalo de Tróia que modifica a página inicial do navegador e. são prejudiciais. Contêm códigos maliciosos que. screenloggers. mas mantê-lo. Não se replicam. Botnet é o nome dado a uma rede de Bots. Ele deixa “portas abertas” em programas instalados na máquina. Rootkit: É um conjunto de programas e técnicas que esconde e assegura a presença de um invasor ou código malicioso em um computador comprometido.com. quando ativados. apagando vestígios da invasão. pois executam mais funções além daquelas que aparentemente ele foi projetado.CONCURSEIROSUNIDOS.ORG principais .br): Prof. Victor Dalton www. causam a perda ou até mesmo o roubo de dados.br 9 de 137 WWW.estrategiaconcursos.

para em um futuro.estrategiaconcursos. são falhas de programação gerada pelo próprio Programador.com.br 10 de 137 WWW.ORG .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Continuemos com outros tipos de ameaças! Trapdoors: Trapdoors são mecanismos escondidos em softwares.CONCURSEIROSUNIDOS. Victor Dalton www. conseguir obter acesso e explorar o sistema. mas a diferença pode ser explicada. O termo Trapdoor soa e chega a parecer bastante parecido com o backdoor. Prof.

alguns sites de órgãos públicos sofrem esse tipo de ataque. para ludibriar o destinatário. consultoria.com. a enviar uma requisição HTTP forjada. que possui uma sessão ativa em um navegador. Email spoofing (falsificação de email): Envio de email modificando dados do cabeçalho. etc).XSS: é um ataque no qual uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Enquanto o backdoor é instalado na máquina da vítima sem que a mesma saiba. no qual os invasores trocam a página principal do site por uma página própria. para obter acesso ao seu sistema. Esta falha permite ao atacante forçar o navegador da vítima a criar requisições que a aplicação vulnerável aceite como requisições legítimas realizadas pela vítima. Scan: Busca minuciosa em redes. o Cross-Site Request Forgery explora a confiança da aplicação web no usuário que está conectado. Defacement (desfiguração de página): é um ataque que consiste em alterar o conteúdo de uma página Web de um site. SQL Injection (Injeção de SQL): é um ataque baseado na inserção maliciosa de comandos ou consultas SQL em uma aplicação Web. Sniffing (interceptação de tráfego): é uma técnica que baseia-se na interceptação de tráfego entre computadores. Cross-Site Scripting . O objetivo é fazer a aplicação executar comandos indesejados ou permitir o acesso a dados não autorizados. Utilizado em spams e phishings. para identificar computadores ativos e coletar informações sobre eles. desfigurar sites ou redirecionar o usuário para sites maliciosos.ORG . com alguma mensagem radical. Ao contrário do XSS. a uma aplicação web vulnerável. por meio de sniffers. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário. Não raro. Prof.estrategiaconcursos. quanto ao remetente. Cross-Site Request Forgery: Força a vítima. principalmente. Victor Dalton www. máquinas caseiras. quando seu software estiver em uso em um determinado lugar (empresa. incluindo o cookie da sessão da vítima e qualquer outra informação de autenticação incluída na sessão. o Trapdoor é desenvolvido pelo próprio programador ao deixar uma falha em seu próprio programa para explorá-la futuramente.br 11 de 137 WWW.CONCURSEIROSUNIDOS.

o que pode sobrescrever a memória adjacente. Buffer Overflow: Consiste no transbordamento de memória. e capturar informações. Victor Dalton www. Session Hijacking: Consiste em de explorar ou controlar uma sessão de comunicação TCP/IP válida entre computadores sem o conhecimento ou permissão dos donos dos mesmos. tomar o controle sobre ela e/ou ganhar privilégios em um sistema. De fato. Sua variante é o DdoS (Distributed Denial of Service).ORG . Flooding ou DoS: é uma forma de ataque de negação de serviço (também conhecido como Denial of Service . Port Scanning Attack: Os hackers enviam mensagens para múltiplas portas e aguardam resposta. na qual o atacante envia uma seqüência de requisições para um sistema-alvo visando uma sobrecarga direta na camada de transporte e indireta na camada de aplicação do modelo OSI. em buscas de fraquezas nos servidores.DoS) em sistemas computadorizados. Advanced Persistent Threat: Invasores profissionais permanecem em uma rede por muito tempo sem serem detectados. Este token consiste em uma cadeia de caracteres que um servidor web envia para um cliente que se autentica. backdoor ou qualquer outro artifício para manter-se operando. um atacante pode obter acesso ao servidor e dispor dos mesmos recursos que o usuário comprometido. este procedimento é muito utilizado pela própria segurança. Prof. o invasor saberá se a porta está disponível ou não para invasão.estrategiaconcursos. com o objetivo de obter acesso crescente. Um invasor pode utilizar essa técnica para travar intencionalmente uma aplicação. O session hijacking normalmente implica explorar o mecanismo que controla a conexão entre um servidor web e um navegador. engenharia social.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 IP Spoofing: Mascaramento do endereço de pacotes IP por meio de endereços de remetentes falsificados. o que se conhece como "token de sessão". A depender das respostas.br 12 de 137 WWW.CONCURSEIROSUNIDOS.com. Ao prever ou roubar o token de sessão. ao se escrever mais dados do que a capacidade do buffer. Podem usar phising.

Neste caso. ou ataques distribuídos de negação de serviço.zumbis). e o site era derrubado.ORG . daquele grupo que anunciou ataques a bancos e órgãos públicos no Brasil? Eles anunciavam o ataque. Alvos típicos são servidores web. e o ataque tenta tornar as páginas hospedadas indisponíveis na rede.br 13 de 137 WWW. anunciavam o alvo. em 2013. Os ataques de negação de serviço são feitos geralmente de duas formas:  Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como memória ou processamento por exemplo) de forma que ele não pode mais fornecer seu serviço. um computador mestre (denominado "Master") pode ter sob seu comando até milhares de computadores ("Zombies" .CONCURSEIROSUNIDOS.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Este é o tipo de ataque do qual ouvimos falar recentemente na mídia. as tarefas de ataque de negação de serviço são distribuídas a um "exército" de máquinas escravizadas.  Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma a não comunicarem-se adequadamente. mas sim da sua invalidação por sobrecarga. Um ataque de negação de serviço (DoS). Prof. são os de mais difícil defesa. Não se trata de uma invasão do sistema.com. Lembra. é uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. Isso acontece porque os ataques do tipo Distributed Denial of Service. Em um ataque distribuído de negação de serviço. Victor Dalton www.estrategiaconcursos.

pirâmides. todos os zumbis (ligados e conectados à rede) acessarão ao mesmo recurso do mesmo servidor.ORG . Passada essa fase. correntes. Phishing: também chamado de scam. Normalmente. Como servidores web possuem um número limitado de usuários que pode atender simultaneamente ("slots"). As máquinas “zumbis”. ou escravas. também podem conter códigos maliciosos.com.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 O ataque consiste em fazer com que os Zumbis (máquinas infectadas e sob comando do Mestre) se preparem para acessar um determinado recurso em um determinado servidor em uma mesma hora de uma mesma data. Victor Dalton www. o grande e repentino número de requisições de acesso esgota esse número de slot. Podem ser fotos polêmicas. Destaco ainda que todo ataque de DDoS foi precedido de alguma outra forma de ataque. é realizado por mensagens eletrônicas que tentam se passar por alguma Instituição conhecida. são máquinas de usuários comuns que se deixaram infectar anteriormente por algum malware (bots).CONCURSEIROSUNIDOS. Phishing: quem nunca recebeu um email desses? Prof. na determinada hora.br 14 de 137 WWW. Além disso. fazendo com que o servidor não seja capaz de atender a mais nenhum pedido. compelindo o destinatário a entrar em um site (falso) para o fornecimento de dados pessoais. é o tipo de fraude no qual um golpista tenta obter dados pessoais e financeiros. Hoax: são mensagens que possuem conteúdo alarmante ou falso.estrategiaconcursos.

De acordo com a cartilha CERT. Spear Phishing: Outra variação do Phishing. Para ganhar mais visibilidade.br 15 de 137 WWW. páginas internas também podem ser alteradas. pois ficam impossibilitadas de acessar ou realizar as operações desejadas.CONCURSEIROSUNIDOS. Nele. (D) Desfiguração ou defacement é uma técnica que consiste em inspecionar os dados trafegados em redes de computadores. O objetivo é exaurir recursos e causar indisponibilidades ao alvo. Com base nas informações coletadas é possível associar possíveis vulnerabilidades aos serviços disponibilizados. chamar mais atenção e atingir maior número de visitantes.ORG . um amigo ou uma empresa com a qual você mantém relacionamento. com o objetivo de identificar computadores ativos e coletar informações. ou domínio de nomes do sistema) do navegador Web é corrompido. redirecionando o usuário para um site falso. todas as pessoas que dependem dos recursos afetados são prejudicadas. porém. está correto o que se afirma em: (A) Interceptação de tráfego consiste em adivinhar. por meio do uso de programas específicos chamados de sniffers. (FCC – TRT 2ª Região – Analista Judiciário – Tecnologia da Informação – 2014) Independentemente do tipo de tecnologia usada. computadores e serviços com o nome e com os mesmos privilégios deste usuário. (C) Um ataque de força bruta é uma técnica que consiste em efetuar buscas minuciosas em redes. Prof. Quando isto ocorre.estrategiaconcursos. um nome de usuário e senha e. na grande maioria dos casos. executar processos e acessar sites. BR. geralmente os atacantes alteram a página principal do site. um computador ou uma rede conectada à Internet. mesmo quando ele digita o nome de um site verdadeiro. e aos programas instalados nos computadores ativos detectados. (B) Varredura em redes é uma técnica que consiste em alterar o conteúdo da página web de um site.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Uma variação do Phising é o chamado Pharming. Apesar deste ataque poder ser realizado manualmente. é realizado com o uso de ferramentas automatizadas que permitem tornar o ataque bem mais efetivo. assim. mas o remetente se passa por alguém que você conhece. ao se conectar um computador à rede ele pode estar sujeito a diversos tipos de ataques. (E) Ataque de negação de serviço é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço.com. por tentativa e erro. Victor Dalton www. o serviço DNS (Domain Name System.

BR. todas as pessoas que dependem dos recursos afetados são prejudicadas. por tentativa e erro. um nome de usuário e senha e. pois ficam impossibilitadas de acessar ou realizar as operações desejadas. assim. alternativa e). 1.3 Criptografia Criptografia é o estudo dos princípios e técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível. (C) Varredura em redes é uma técnica que consiste em efetuar buscas minuciosas em redes.CONCURSEIROSUNIDOS. computadores e serviços com o nome e com os mesmos privilégios deste usuário.estrategiaconcursos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Vamos reescrever as alternativas corretamente? (A) Um ataque de força bruta consiste em adivinhar. Victor Dalton www. (B) Desfiguração ou defacement é uma técnica que consiste em alterar o conteúdo da página web de um site. O objetivo é exaurir recursos e causar indisponibilidades ao alvo. Assim sendo.cert. Com base nas informações coletadas é possível associar possíveis vulnerabilidades aos serviços disponibilizados. disponível em http://cartilha. só Prof. geralmente os atacantes alteram a página principal do site. Resposta certa. com o objetivo de identificar computadores ativos e coletar informações. executar processos e acessar sites.br 16 de 137 WWW. (E) Ataque de negação de serviço é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço.ORG . chamar mais atenção e atingir maior número de visitantes. por meio do uso de programas específicos chamados de sniffers. Quando isto ocorre. A cartilha CERT. porém. de forma que possa ser conhecida apenas por seu destinatário. e aos programas instalados nos computadores ativos detectados. Apesar deste ataque poder ser realizado manualmente. um computador ou uma rede conectada à Internet. o que a torna difícil de ser lida por alguém não autorizado. Para ganhar mais visibilidade. é realizado com o uso de ferramentas automatizadas que permitem tornar o ataque bem mais efetivo.com. na grande maioria dos casos. páginas internas também podem ser alteradas.br/ é a principal fonte de inspiração da FCC para questões deste tipo. Fica a recomendação para sua leitura complementar. (D) Interceptação de tráfego é uma técnica que consiste em inspecionar os dados trafegados em redes de computadores.

parte da Criptologia. Uma informação não-cifrada que é enviada de uma pessoa (ou organização) para outra é chamada de "texto claro" (plaintext). É um ramo da Matemática. Há dois tipos principais de chaves criptográficas: chaves simétricas e chaves assimétricas. Segundo Nakamura. Cifragem é o processo de conversão de um texto claro para um código cifrado e decifragem é o processo contrário. a criptografia possui quatro propriedades.estrategiaconcursos.br 17 de 137 WWW. Enquanto a primeira oculta o significado da mensagem.1 Conceitos relacionados Uma técnica clássica de criptografia é a esteganografia. Interessante frisar a diferença entre criptografia e esteganografia. Veja abaixo um exemplo clássico de esteganografia. uma forma de segurança por obscurantismo. esteganografia é o ramo particular da criptologia que consiste em fazer com que uma forma escrita seja camuflada em outra a fim de mascarar o seu verdadeiro sentido. ou objetivos. para a proteção da informação. de recuperar o texto original a partir de um texto cifrado.com. Victor Dalton www. Em outras palavras.3.ORG . a segunda oculta a existência da mensagem. A criptografia moderna é basicamente formada pelo estudo dos algoritmos criptográficos que podem ser implementados em computadores. Esteganografia (do grego "escrita escondida") é o estudo e uso das técnicas para ocultar a existência de uma mensagem dentro de outra.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 o receptor da mensagem pode ler a informação com facilidade. Prof.CONCURSEIROSUNIDOS. a saber:     Confidencialidade (privacidade) – sigilo entre as partes envolvidas Integridade – a informação não sofrer alterações Autenticação (do remetente) – poder saber quem é o remetente Não-repúdio – o remetente não poder negar a autoria da mensagem 1.

vídeos.CONCURSEIROSUNIDOS. etc. qualquer tipo de mídia que possa carregar informação. é possível empregar a esteganografia em mensagens de áudio. Victor Dalton www. texto.com. Uma outra ideia relacionada à criptografia é a chamada cifra de César..Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Mensagem inocente. A cifra de César é uma das formas mais simples de criptografia. Quem já teve infância certamente já trocou bilhetes “criptografados” na escola. não? E essa mensagem? Continua inocente? Nos dias atuais. Prof. Por exemplo..ORG . enfim.br 18 de 137 WWW. imagens.estrategiaconcursos. -1. escrevendo CASA como DBTB ou BZRZ. usando a famosa regrinha do +1. Esta é a cifra de César. +2.

estrategiaconcursos. a saber: Criptoanálise: os ataques criptoanalíticos contam com a natureza do algoritmo e talvez mais algum conhecimento das características gerais do texto claro.br 19 de 137 WWW. Veremos mais sobre esse jogo.com.2 Criptografia simétrica e assimétrica (importante!) Diferenciar algoritmos de chave simétrica e assimétrica é importante. percebe-se uma diferença clara entre a criptoanálise e a força bruta. metade de todas as chaves possíveis precisam ser testadas para se obter sucesso.CONCURSEIROSUNIDOS. ou ainda algumas amostras do texto claro e texto cifrado. até obter uma tradução inteligível para o texto claro. Outros conceitos interessantes dizem a respeito da engenharia reversa da criptografia.ORG . que é a arte de criar mensagens cifradas.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 A cifragem de César se baseia no deslocamento dos caracteres do alfabeto. A criptoanálise pode ser considerada o oposto da criptologia. 1. Criptografar e decriptografar mensagens é um “jogo de gato e rato”. Ataque por força bruta: o atacante experimenta cada chave possível em um trecho de texto cifrado. Victor Dalton www. Logo. Na média. Uma parte interessada em quebrar uma mensagem cifrada pode lançar mão de dois recursos. e não é difícil! Prof. O objetivo é deduzir o texto em claro ou a chave utilizada. à medida que nos aprofundarmos no assunto.3.

Usa-se uma única chave. Resumindo. na prática. na premissa de que esta é conhecida apenas por eles. a mesma chave usava pra criptografar é a mesma utilizada para decriptografar. trabalham com chaves distintas para a cifragem e decifragem.ORG . Prof. Normalmente utilizam o conceito de chave pública e chave privada.br 20 de 137 WWW. partilhada por ambos os interlocutores. Os algoritmos de chave assimétrica. que usam chaves criptográficas relacionadas para as operações de cifragem e decifragem. como a utilização de números primos extensos. representa um segredo.estrategiaconcursos. e apenas a chave privada consegue realizar a decifragem. por sua vez. A operação de chave simétrica é mais simples. pois pode existir uma única chave entre as operações.CONCURSEIROSUNIDOS. Criptografia com chave simétrica. que podem ser usadas para manter um canal confidencial de informação. A chave.com.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Os algoritmos de chave simétrica são uma classe de algoritmos para a criptografia. Requer o emprego de algoritmos complexos. partilhado entre duas ou mais partes. no qual a chave pública do destinatário é utilizada para a criptografia da informação. Victor Dalton www.

Thiago utiliza a chave pública de Fábio para criptografar a mensagem.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Criptografia assimétrica Veja a comunicação acima.com. as chaves simétricas são as mais recomendadas para o trâmite de grandes volumes de dados. logo.CONCURSEIROSUNIDOS. por ser única. Estando a mensagem cifrada. para comunicar-se com muitos destinatários diferentes. lógico. Portanto. pois apenas Fábio poderá decifrar a mensagem. é que o meio pelo qual trafegam as mensagens não pode ser o mesmo meio pelo qual a chave é compartilhada. consegue decifrar a mensagem. não é mesmo? Prof. Como contrapartida. ela pode trafegar por um canal inseguro (ex: Internet) com certa tranquilidade. Por outro lado. e nunca divulgou para ninguém.estrategiaconcursos. Se existe um meio mais seguro para compartilhar a chave. Assim sendo. Afinal. já que apenas ele possui a chave privada. requer algoritmos complexos para o seu devido emprego. uma única chave pública pode ser distribuída livremente. porque não utilizá-lo para o próprio fluxo de dados? Além disso. distribuir a chave é um inconveniente. Thiago vai enviar uma mensagem para Fábio.ORG . teoricamente mais segura.br 21 de 137 WWW. Essas diferenças merecem um comparativo. Victor Dalton www. Já a chave assimétrica. Atualizar a chave é um inconveniente. nunca divulgada. O inconveniente da chave simétrica. já que apenas a chave privada. o ideal é que se tenha uma chave para cada destinatário diferente. gerenciar as chaves também pode ser um problema. já que seu processamento é mais rápido. não é difícil imaginar que performance seja um gargalo neste sistema.

de modo que a decifragem somente é possível.com. em um texto cifrado de mesmo tamanho. porém somente 56 deles são realmente utilizados pelo algoritmo. teoricamente.br 22 de 137 WWW. Os oito bits restantes são utilizados para verificar a paridade e depois são descartados.DES é tipo de cifra em bloco. A chave consiste nominalmente de 64 bits.CONCURSEIROSUNIDOS. através de uma série de complicadas operações.3. ou seja. e assim é citado o tamanho de sua chave.3 Mesma chave cifra e decifra Veloz Complicado. uma chave para cada usuário São perigosos CHAVE ASSIMÉTRICA Pública (divulgada livremente) Privada(secreta) Chave pública cifra a mensagem e chave privada decifra Lento Simples.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 CHAVE SIMÉTRICA Única Chaves Funcionamento Processamento Gerenciamento das chaves Ataques força bruta de 1.estrategiaconcursos.ORG . o tamanho do bloco é 64 bits. basta divulgar a chave pública São ineficazes (números primos muito grandes) Principais algoritmos Hora de vermos alguns algoritmos. DES também usa uma chave para personalizar a transformação. Prof. um algoritmo que toma uma string (“pedaço” de texto) de tamanho fixo de um texto plano e a transforma. DES (Data Encryption Standard) . Victor Dalton www. portanto o tamanho efetivo da chave é de 56 bits. por aqueles que conhecem a chave particular utilizada para criptografar. No caso do DES.

É um algoritmo relativamente vulnerável a ataques de força bruta. O 3-DES é uma versão melhorada do DES.ORG . utiliza a mesma chave para a decriptografia. aplicando-se as subchaves na sequência inversa. nos dias atuais. Victor Dalton www. Isto faz o 3DES ser mais lento que o DES original. decifrados com a segunda chave e finalmente encriptados novamente com uma terceira chave.estrategiaconcursos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 O DES.com.br 23 de 137 WWW.CONCURSEIROSUNIDOS. Prof. na qual os dados são encriptados com a primeira chave. por ser um algoritmo simétrico. porém em contrapartida oferece maior segurança.

estrategiaconcursos.com. Ele também é simétrico. usa chave de 128 bits. conforme exemplo mostrado anteriormente.É um algoritmo de hash de 128 bits unidirecional desenvolvido pela RSA Data Security.. em 1990. e muito Prof. usa um tamanho de bloco de 128 bits e admite chaves de 128. Simétrico. IDEA (International Data Encryption Algorithm) – algoritmo desenvolvido na Suíça. Inc. Victor Dalton www. Ele utiliza números primos muito grandes. A chave pode ter de 1 até 2048 bits. o AES foi um algoritmo “provocado” pelo governo norteamericano. RC4 – O RC4 não é uma técnica de blocos.br 24 de 137 WWW. MD-5 (Message Digest Algorithm 5) . ele trabalha em fluxo contínuo de entrada e saída de bytes. em virtude da necessidade de substituição do DES. cuja vida útil se aproximava do fim.ORG . 192 e 256 bits. RSA – O RSA é um algoritmo assimétrico de chave pública.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 AES (Advanced Encryption Standard) – Também conhecido como Rjindael. mas é comum a utilização com chave de 40 ou 128 bits.CONCURSEIROSUNIDOS.

estrategiaconcursos. a SHA-1.br 25 de 137 WWW. DSS (Digital Signature Standard) – O DSS é um padrão de assinatura digital utiliza um algoritmo que foi projetado apenas para oferecer a função de assinatura digital (o DSA). a comunidade de segurança considera o MD5 como um algoritmo quebrado. ele não pode ser usado para a criptografia ou troca de chave. SSL. S/MIME e IPSec. é uma técnica de chave pública. SSH.com.ORG . Diferentemente do RSA. Um número primo q de 160 bits. O DSS também utiliza o algoritmo SHA-1 para a geração do hash. em que h é menor que p -1 e (g mod q) > 1. é usada numa grande variedade de aplicações e protocolos de segurança. um número p entre 512 a 1024 bits. Atualmente. PGP. que podem ser comuns a um grupo de usuários. de modo que q divida (p -1). DSA (Digital Signature Algorithm) – O DSA é o algoritmo do DSS para assinatura digital.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 utilizado por softwares com protocolo ponto-a-ponto na verificação de integridade de arquivos e logins. O SHA-1 processa os dados de entrada em blocos de 512 bits e gera um sumário de mensagens de 160 bits.A família de SHA (Secure Hash Algorithm) está relacionada com as funções criptográficas e verificação de integridade de dados.CONCURSEIROSUNIDOS. SHA-1 foi considerado o sucessor do MD5. h é a chave secreta a ser utilizada pelo assinante. embora ainda seja utilizado nos dias atuais. SHA-1 (Secure Hash Algorithm 1) . Ele trabalha com três parâmetros públicos. incluindo TLS. que será igual a h elevado a [(p-1)/q]. A função mais usada nesta família. e g. Victor Dalton www. baseado na dificuldade de se calcular logaritmos discretos. Apesar disso. Prof.

aquela terá que cifrar a mensagem com a sua chave privada e. Ela garantirá a autenticidade do remetente e a integridade da mensagem.com. mas quem garante que a mensagem realmente está vindo daquele emissor? Afinal de contas.4 Assinatura digital Analisar assinatura digital é a continuação natural da criptografia assimétrica. O receptor pode provar a recepção de qualquer mensagem através do criptograma resultante da decifragem com a sua chave privada. quando a entidade emissora quer enviar uma mensagem assinada digitalmente a outra entidade. A chave pública de Fábio é pública. Prof.br 26 de 137 WWW. qualquer um pode enviar uma mensagem para Fábio. Até aí tudo bem. Por enquanto. a entidade receptora ao receber a mensagem terá que decifrá-la primeiro com a sua chave privada e de seguida decifrar este resultado com a chave pública da entidade emissora. Vamos ver como? Assinatura digital baseada em Chave Pública A assinatura digital requer que emissores e receptores conheçam as chaves públicas uns dos outros. mas já traremos esses conceitos para o nosso dia a dia. ainda estamos no “mundo das ideias”. Peço sua paciência! Você deve ter percebido que a criptografia baseada em chave assimétrica garante a confidencialidade da mensagem. apenas o destinatário da mesma consegue decifrá-la.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 1. em seguida. cifrar o resultado com a chave pública da entidade receptora. Victor Dalton www. Este método de assinatura digital tem todas as vantagens dos algoritmos de chave pública nomeadamente a sua impossibilidade de decifragem por outros. não é mesmo? É nesse contexto que entra a assinatura digital. pelo menos em tempo útil.ORG .CONCURSEIROSUNIDOS. Assim.estrategiaconcursos. pois. Notese que ele consegue decifrá-lo mas nunca conseguiria produzi-lo uma vez que desconhece a chave privada do emissor.3. Por sua vez.

Desta forma só autoridade central e a própria entidade têm conhecimento da sua chave secreta. além de cifrar a mensagem com a chave pública de Fábio. pois a chave pública de Thiago também decifra mensagens cifradas pela chave privada de Thiago.CONCURSEIROSUNIDOS. como também garantirá que a mensagem realmente é de Thiago.estrategiaconcursos. Veja também outros dois tipos de assinatura digital: Assinatura digital baseada em Chave Secreta Esta aproximação requer a existência de uma autoridade central que sabe tudo e em quem todos confiam. A esta mensagem será concatenada uma estampilha que só a autoridade central consegue gerar e decifrar. o receptor pode provar a recepção de qualquer mensagem através da estampilha recebida (só a autoridade central consegue produzir uma). Prof.com. Desta forma. terá que a cifrar. Cada entidade escolhe uma chave secreta e a repassa à autoridade central. com a sua chave secreta. O resultado será cifrado com a chave secreta da entidade receptora e enviado. A mensagem passará pela autoridade central que a decifrará com a chave secreta da entidade emissora. Quando uma entidade quer enviar uma mensagem assinada digitalmente à outra. e enviá-la à autoridade central. Victor Dalton www. Fábio não só conseguirá ler a mensagem.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Figura – assinatura digital baseada em chave pública Entendeu a jogada? Se.br 27 de 137 WWW. Thiago cifrar também com sua própria chave privada.ORG .

Prof.br 28 de 137 WWW. da mensagem. é necessária a autenticação.. independentemente do tamanho da mensagem.e. mas não existe qualquer interesse de privacidade. obtendo como resultado o chamado messagedigest(resumo). conhecida por autoridade certificadora (CA). Esse resumo possui tamanho fixo. para fazer a distribuição de chaves públicas de forma segura. Muitas vezes. um objeto que contém a chave pública de uma dada entidade assinada digitalmente por uma entidade de confiança. i. você entendeu como a mensagem é enviada de uma forma segura. arbitrariamente longa.com.CONCURSEIROSUNIDOS. as entidades comunicantes devem assegurar-se que conhecem as verdadeiras chaves públicas umas das outras e não quaisquer outras ilegalmente publicadas. A entidade receptora decifrará a assinatura com a chave pública da entidade emissora (previamente publicada) e verificará se o message-digest é o esperado. a entidade emissora terá que gerar o message-digest e cifrá-lo (assiná-lo) com a sua chave privada.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Assinatura digital baseada em funções de hash (importante!) Uma das críticas que se podem fazer à aproximações apresentadas anteriormente é que elas juntam duas funções distintas: autenticação e privacidade. a troco da segurança do sistema poder ficar comprometido. Este esquema baseia-se nas funções de sentido único (one-way hash functions) e tem como base a cifragem de uma parte. Uma vez que a cifragem de uma mensagem com criptografia de chaves públicas é normalmente lenta. você entendeu como garantir a assinatura do remetente. Para garantir isso. Segundo. Desta forma não será necessário cifrar toda a mensagem. De seguida poderá enviar a mensagem (cifrada ou não) concatenada com a sua assinatura. Agora podemos fazer mais uma pergunta. Figura – assinatura digital baseada em funções de hash Estamos evoluindo! Primeiro. Desta forma. usa-se o conceito de certificado.ORG . Como pode ser facilmente percebido. Victor Dalton www.estrategiaconcursos. é frequentemente desejável enviar uma mensagem assinada digitalmente sem preocupação de que ela seja lida por outros.

É hora de estudarmos o Certificado Digital. quem garante a Fábio que o Thiago realmente é o Thiago. Resposta certa. Antônio. Somente João conhece a chave privada. ele terá que usar sua chave privada. que forma par com a chave pública utilizada no processo. João envia uma mensagem criptografada para Antônio. Para Antônio decodificar a mensagem que recebeu de João. será capaz de decifrar a mensagem com a própria chave privada. Para Antônio decodificar a mensagem que recebeu de João. (C) a chave pública de Antônio. Victor Dalton www. relacionada à chave pública usada no processo por João. Para Antônio decodificar a mensagem que recebeu de João.ORG . Ambos conhecem a chave privada. ele terá que usar a chave pública.5 Certificado digital Um certificado digital normalmente é usado para ligar uma entidade a uma chave pública. este deverá utilizar a chave pública de Antônio. ele terá que usar a chave privada. ele terá que usar sua chave pública. utilizando criptografia assimétrica. Na criptografia assimétrica. (D) a chave privada de Antônio. o certificado é assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um modelo de Prof. no caso de uma Infraestrutura de Chaves Públicas (ICP). e não alguém se passando por Thiago? A dica foi dada na última modalidade de assinatura digital. Para garantir digitalmente. Ambos conhecem a chave privada. João usa (A) a chave privada de Antônio. Para Antônio decodificar a mensagem que recebeu de João. para que João envie uma mensagem para Antônio.estrategiaconcursos.com. alternativa b).br 29 de 137 WWW. Para codificar o texto da mensagem. (B) a chave pública de Antônio. Somente Antônio conhece a chave privada. Para Antônio decodificar a mensagem que recebeu de João.3. relacionada à chave pública usada no processo por João. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) Em determinada instituição. relacionada à chave privada usada no processo por João. única parte que conhece sua própria chave privada.CONCURSEIROSUNIDOS. ele terá que usar a chave privada. 1. Cada um conhece apenas sua própria chave privada.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Quem garante que aquele emissor realmente é legítimo? Ou seja. (E) sua chave privada.

garantia de que quem executou a transação não pode negar que foi ele mesmo que executou.com. emitida por um cartório. por meio da qual um usuário entra em sua conta no site do Banco do Brasil (repare no CADEADO VERDE): Esta é uma típica comunicação de duas partes que usa criptografia assimétrica. Prof.  Integridade .  Não-repúdio .ORG . A gente às vezes não precisa ir em um cartório pra provar que a gente é a gente mesmo? Mesma coisa aqui! Veja essa tela abaixo. cliente. Uma parte é VOCÊ.CONCURSEIROSUNIDOS.estrategiaconcursos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Teia de Confiança (Web of Trust).br 30 de 137 WWW.garantia de que o conteúdo da transação não foi alterado. o certificado é assinado pela própria entidade e assinado por outros que dizem confiar naquela entidade. Em ambos os casos as assinaturas contidas em um certificado são atestamentos feitos por uma entidade que diz confiar nos dados contidos naquele certificado. Victor Dalton www. e a outra é o BANCO.o receptor deverá poder confirmar a assinatura do emissor. O certificado digital oferece garantias de:  Autenticidade . Ainda está um pouco quadrado? Pois imagine o Certificado Digital como uma cédula de identidade.

o CADEADO VERDE aparece na sua tela. Nas configurações avançadas de seu navegador. precisa ter certeza que realmente está trocando mensagens com o BANCO. mostrando que sua comunicação. lhe envia um CERTIFICADO DIGITAL. o BANCO. verifica se a autoridade certificadora dele realmente é de confiança (como se um cartório fosse).CONCURSEIROSUNIDOS. que mostra isso: Nem pense em modificar essas configurações! Seu navegador pode ficar vulnerável! Sendo o Certificado Digital realmente emitido por uma Autoridade Certificadora de confiança. o banco.ORG . qual a criptografia que usa. no caso o seu navegador. a partir daquele momento. Victor Dalton www. no caso. ao entrar nesse canal seguro. é possível verificar estes certificados. lhe enviando a chave pública dele. Segue abaixo uma tela do Google Chrome.com. então. oferece um canal seguro de comunicação. protegido por criptografia. Para isso. VOCÊ.estrategiaconcursos. mostrando quem ele é. como os dados bancários de um cliente. será segura. Viu como a criptografia faz parte do seu dia a dia? Prof. e informando qual a AUTORIDADE CERTIFICADORA que emitiu o Certificado dele. o fornecedor de um serviço crítico.br 31 de 137 WWW.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Em telas cuja informação é sensível. Mas VOCÊ. por meio de seu navegador de internet.

− dados que identificam quem emitiu o certificado (assinatura da AC).ORG . e não da Autoridade Certificadora. e nem todos aderem às Autoridades Certificadoras. inclusive de órgãos públicos. Prof. rs). isso quer dizer que a comunicação com a outra parte é segura. − validade do certificado.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 P.S. ou em vermelho. cadeado “cortado”. mas não há Autoridade Certificadora garantindo que a outra parte é idônea. é possível trocar informações de maneira segura com uma parte mal intencionada. Em um certificado digital.: Você já deve ter entrado em sites.CONCURSEIROSUNIDOS.br 32 de 137 WWW. e alguma mensagem do tipo “continue por sua conta e risco”. Victor Dalton www. − chave pública do dono do certificado (a chave privada fica apenas com o dono). Na prática. poderão ser encontradas as seguintes informações: − versão e número de série do certificado.estrategiaconcursos. − versão e número de série do certificado. − algoritmo de assinatura. registro civil). Ou seja. Isso acontece porque a emissão de certificados é paga (como se cartório fosse. Deseja continuar?” . confiar no outro lado fica por conta e risco do usuário. − dados que identificam o dono do certificado (nome. − requerente do Certificado. e ter se deparado com mensagens do tipo :”Este Certificado não foi verificado. conforme imagem abaixo: Tela vermelha de fundo. Nesses casos.com.

Ela será a entidade responsável pela emissão.br 33 de 137 WWW. expedir.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 1.ORG . suspensão.Raiz A Autoridade Certificadora Raiz da ICP-Brasil (AC-Raiz) é a primeira autoridade da cadeia de certificação.estrategiaconcursos.Brasil Falando em Autoridade Certificadora. revogar e gerenciar os certificados das autoridades certificadoras de nível imediatamente subsequente ao seu. renovação ou revogação de seu certificado digital.CONCURSEIROSUNIDOS. Portanto. no Brasil. compete à AC-Raiz emitir. A ICP–Brasil é formada por uma Autoridade Certificadora Raiz (AC RAIZ) que é representada pelo Instituto Nacional de Tecnologia da Informação (ITI).3. A AC-Raiz também está encarregada de emitir a lista de certificados revogados (LCR) e de fiscalizar e auditar as Autoridades Certificadoras (ACs).6 A ICP . Victor Dalton www. sendo este órgão responsável pela autentificação das demais Autoridades Certificadoras. Vejamos mais alguns conceitos relevantes sobre a ICP Brasil: AC . além de ser obrigada a manter sempre disponível a Lista de Certificados Revogados (CRL). elaborados para suportar um sistema criptográfico com base em certificados digitais e visa assegurar as transações entre titulares de certificados digitais e detentores de chaves públicas. Além disso. Para assegurar que uma determinada chave pertence a você é necessário que uma Autoridade Certificadora (AC) confira sua identidade e seus respectivos dados. Prof. Autoridades de Registro (ARs) e demais prestadores de serviço habilitados na ICP-Brasil. padrões técnicos e regulamentos. distribuir. Executa as Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICPBrasil. a ICP-Brasil é um conjunto de entidades governamentais ou de iniciativa privada. além de executar atividades de fiscalização e auditoria das AC e Autoridades de Registro (AR) para que possa certificar-se de que a entidade está seguindo todas as Políticas de Certificação. verifica se as ACs estão atuando em conformidade com as diretrizes e normas técnicas estabelecidas pelo Comitê Gestor da ICP-Brasil.com.

responsável por emitir. que possui um par único de chaves (pública/privada). Além de estabelecer e fazer cumprir. subordinada à hierarquia da ICP-Brasil.estrategiaconcursos.Autoridade Certificadora Uma Autoridade Certificadora (AC) é uma entidade. renovar.com. Cria e assina digitalmente o certificado do assinante. AR – Autoridade de Registro Uma Autoridade de Registro (AR) é responsável pela interface entre o usuário e a Autoridade Certificadora. pública ou privada. de forma presencial. encaminhamento de solicitações de emissão ou revogação de certificados digitais e identificação.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 AC . as políticas de segurança necessárias para garantir a autenticidade da identificação realizada. Prof. pelas Autoridades Registradoras (ARs) a ela vinculadas.ORG . É responsabilidade da AR manter registros de suas operações. de seus solicitantes. validação. Cabe também à AC emitir listas de certificados revogados (LCR) e manter registros de suas operações sempre obedecendo às práticas definidas na Declaração de Práticas de Certificação (DPC). onde o certificado emitido pela AC representa a declaração da identidade do titular. tem por objetivo o recebimento. revogar e gerenciar certificados digitais.br 34 de 137 WWW. Tem a responsabilidade de verificar se o titular do certificado possui a chave privada que corresponde à chave pública que faz parte do certificado. Vinculada a uma AC.CONCURSEIROSUNIDOS. Victor Dalton www. distribuir. Pode estar fisicamente localizada em uma AC ou ser uma entidade de registro remota.

estrategiaconcursos. ou sumplesmente Setor de Normatização das Telecomunicações).br/images/icpbrasil/estrutura/2014/atualizacao12/Estrutura_da_ICP-Brasil_-_site. Na ICP-Brasil estão previstos dez tipos de certificado. A série A (A1. de bases de dados.CONCURSEIROSUNIDOS. certificados do tipo T3 e T4 somente podem ser emitidos para equipamentos das Autoridades de Carimbo do Tempo (ACTs) credenciadas na ICP-Brasil. quem emitirá o certificado será a AC.509 v3. S2. Tal normatização define o formato dos certificados digitais. reúne os certificados de sigilo. São três séries de certificados.br 35 de 137 WWW. Ainda. de mensagens e de outras informações eletrônicas sigilosas. perceba que ninguém emite Certificados diretamente com a ACRaiz.com.pdf 1. para sua infraestrutura de chaves públicas. A AR apenas faz o meio de campo entre a entidade e a AC. Também certificados de assinatura digital. S3 e S4). utilizados na confirmação de identidade na Web. em e-mail. apenas as autoridades Certificadoras imediatamente abaixo de seu nível na hierarquia. A3 e A4) reúne os certificados de assinatura digital. Os Prof. Victor Dalton www. definido pela ITU-T (Internation Telecommunication Union – Telecommunication Standardization Sector.ORG .iti. A série S (S1. por sua vez. que são utilizados na codificação de documentos. em redes privadas virtuais (VPN) e em documentos eletrônicos com verificação da integridade de suas informações. Embora uma entidade precise ir a uma AR para obter o seu Certificado Digital.7 Tipos de Certificação Digital A ICP Brasil adota o padrão X. A2. Conheça a hierarquia resumida da ICP Brasil em: http://www.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Dica do professor: perceba que a Autoridade de Registro NÃO EMITE Certificados Digitais.3.gov.

Para acessar essas informações. Chave criptográfica Tipo de certificado Tamanho da chave (bits) Processo de geração Mídia armazenadora Validade máxima (anos)* A1 e S1 1024 Software Arquivo 1 A2 e S2 1024 Sofware Smart card ou token. com capacidade de geração de chave 3 Hardware Hardware criptográfico aprovado pelo CG da ICP-Brasil 5 Hardware Hardware criptográfico aprovado pelo CG da ICP-Brasil 3 T3 1024 T4 2048 *observação: a partir de 5 de julho de 2012.estrategiaconcursos. com capacidade de geração de chave 5 A4 e S4 2048 Hardware Smart card ou token.CONCURSEIROSUNIDOS. Nos tipos A2. em qualquer documento ou transação eletrônica. qualquer certificado emitido por AC de 1º ou 2º nível pode ter validade de até 5 anos. Nos certificados do tipo A1 e S1.com. baseando-se na hora oficial brasileira fornecida pelo Observatório Nacional. A4. Prof. A3. cuja finalidade é provar a sua existência em determinado período. é necessária a digitação de senha no momento crítico da transação. sem capacidade de geração de chave 2 A3 e S3 1024 Hardware Smart card ou token.br 36 de 137 WWW. Tipos T3 e T4 são para hardware específico das Autoridades de Carimbo do Tempo. Victor Dalton www.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 dez tipos são diferenciados pelo uso.ORG . pelo nível de segurança e pela validade. as chaves privadas ficam armazenadas no próprio computador do usuário. S2. S3 e S4. ainda. as chaves privadas e as informações referentes ao seu certificado ficam armazenadas em um hardware criptográfico – cartão inteligente (smart card) ou cartão de memória (token USB ou pen drive).

pois certificados de sigilo não serão utilizados para emissão de NF-e. Victor Dalton www. No site http://nf-eletronica. a empresa deverá possuir um certificado digital. Um padrão específico de certificado digital usado na ICP Brasil (ICP/BR) é citado em ambos os textos e especifica. permitindo autenticação forte. enquanto os certificados A3 são armazenados em smart card ou token. entre várias outras coisas.com. Trata-se do padrão Prof. (B) A2 e A3. o formato dos certificados digitais. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) s arquivos digitais no padrão definido em norma e do aplicativo GeraTEDeNF. (C) S1 e S3. II. em um padrão específico.estrategiaconcursos. (A) S1 e S2. que contenha o CPF do titular será permitido desde que a SEFAZ-PI seja comunicada previamente através da apresentação do Termo de Outorga de Poderes para Assinatura e Transmissão de Arquivos Digitais firmada pelo representante legal da empresa. Resposta certa. (E) A1 e A3. A chave privada é armazenada em dispositivo portátil inviolável do tipo smart card ou token. emitido por Autoridade Certificadora credenciada à ICP/BR. de tal maneira que se possa amarrar firmemente um nome a uma chave pública. I e II são. O uso de certificado digital de pessoa física emitido por Autoridade Certificadora credenciada à ICP/BR. devendo ser do tipo …I… ou …II… e conter o CNPJ de um dos estabelecimentos da empresa.CONCURSEIROSUNIDOS. emitido por Autoridade Certificadora credenciada à ICP/BR que contenha o CNPJ da empresa. (D) A2 e A4. As características dos certificados digitais I e II são descritas a seguir: I.com consta o seguinte texto adaptado: O Projeto Nota Fiscal Eletrônica (NF-e) exige o uso de Certificado Digital em um padrão específico.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 (FCC – SEFAZ/PI – Auditor Fiscal – 2015) O certificado digital utilizado na Nota Fiscal Eletrônica (NF-e) deverá ser adquirido junto à Autoridade Certificadora credenciada pela Infraestrutura de Chaves Públicas Brasileira − ICP-Brasil. Não cabe marcar S1 e S3. que também é utilizado para realizar a assinatura digital. Os certificados do tipo A1 são armazenados no computador. alternativa e). A chave privada é armazenada no disco rígido do computador.ORG . que possui um chip com capacidade de realizar a assinatura digital. respectivamente.br 37 de 137 WWW.

é um backup de atualização. (E) SPDK/SDSI. A ICP Brasil utiliza o padrão X509 v3 como padrão de certificação digital. Além disso.v3.v6. É um backup intermediário entre o incremental e o completo. Questões de prova em cima dessa ideia são frequentes. 1. é criada uma cópia de segurança para todos esses arquivos. Resposta certa. todos os arquivos e pastas na unidade sofrem o backup. (C) PGP. podemos destacar que os backups podem ser realizados de três formas diferentes. disco de Blu-ray e disco rígido interno ou externo) ou armazena-los remotamente (online ou off-site). ou seja.4 Backup A informação mais importante a respeito de backup fica na norma ISO 27002.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 (A) X509.com. DVD. a qual afirma que as mídias de backup devem ficar situadas a uma distância segura da mídia e dos sistemas originais. alternativa d).br 38 de 137 WWW.estrategiaconcursos. para que danos causados por um desastre no site principal não afetem também o backup.CONCURSEIROSUNIDOS. Victor Dalton www. (B) SET. pen-drive. de qualquer tipo. Em suma. Esta padronização de infraestrutura de chave pública é definida pela ITU-T. São elas: Backup Incremental: realiza um backup dos arquivos que foram alterados ou novos desde o último backup. A escolha depende do Prof. Backup Diferencial: realiza um backup dos arquivos que foram alterados desde o último backup completo. Backup Completo: como o próprio nome diz. (D) X509. Onde gravar os backups: você pode usar mídias (como CD.ORG .

ao passo que um disco rígido pode ser usado para grandes volumes que devam perdurar.br 39 de 137 WWW.ORG .com. um pen-drive pode ser indicado para dados constantemente modificados.5 VPN Uma Rede Privada Virtual (Virtual Private Network – VPN). você pode optar por aceitá-las ou criar suas próprias listas. como o próprio nome sugere.CONCURSEIROSUNIDOS. Quais arquivos copiar: apenas arquivos confiáveis e que tenham importância para você devem ser copiados. Como a Internet é uma rede pública. DVD ou Blu-ray pode bastar para pequenas quantidades de dados. geralmente. Prof.estrategiaconcursos. não precisam ser copiados. 1. custo e confiabilidade. Arquivos frequentemente modificados podem ser copiados diariamente ao passo que aqueles pouco alterados podem ser copiados semanalmente ou mensalmente. Fazer cópia de arquivos desnecessários pode ocupar espaço inutilmente e dificultar a localização dos demais dados. é uma forma de conectar dois computadores utilizando uma rede pública. Com que periodicidade devo realiza-los: depende da frequência com que você cria ou modifica arquivos. Arquivos de programas que podem ser reinstalados. Victor Dalton www. é preciso criar alguns mecanismos de segurança para que as informações trocadas entre os computadores de uma VPN não possam ser lidas por outras pessoas.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 programa de backup que está sendo usado e de questões como capacidade de armazenamento. Muitos programas de backup já possuem listas de arquivos e diretórios recomendados. Um CD. como a Internet.

até encontrar seu destino.ORG . Os principais protocolos de tunelamento são os seguintes: PPTP (Point-to-Point Tunneling Protocol) é um protocolo de nível 2desenvolvido pela Microsoft. 3Com. utilizando o protocolo de tunelamento.estrategiaconcursos. L2TP (Layer Two Tunneling Protocol) é o resultado dos trabalhos do IETF (RFC 2661) para fazer convergir as funcionalidades de PPTP e de L2F. Depois de criptografados. os dados são então encapsulados e transmitidos pela Internet.br 40 de 137 WWW. Está hoje quase obsoleto. Victor Dalton www. Trata-se assim de um protocolo de nível 2 que se apoia em PPP. Ascend. EUA Robotics e ECI Telematics.com. Prof.CONCURSEIROSUNIDOS. pois essa garante que os dados transmitidos por um dos computadores da rede sejam os mesmo que as demais máquinas irão receber.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 A proteção mais utilizada é a criptografia. Northern Telecom e Shiva. L2F (Layer Two Forwarding) é um protocolo de nível 2 desenvolvido pela Cisco.

ORG . Cada protocolo define o seu próprio formato para o cabeçalho IPsec no pacote IPsec.estrategiaconcursos. as SAs podem ser do tipo AH ou ESP. Para a confidencialidade o ESP suporta algoritmos de encriptação por chave partilhada tais como o DES e o 3-DES. o mais conhecido.br 41 de 137 WWW. permitindo transportar dados calculados para as redes IP. quer o AH quer o ESP suportam os modos transporte e túnel. Adicionalmente. Ambos os protocolos usam o conceito de uma Associação de Segurança (AS).CONCURSEIROSUNIDOS.com. O IPsec define dois protocolos de segurança designados de Cabeçalho de Autenticação (AH) (RFC 2402) e Encapsulating Security Payload (ESP) (RFC 2406). O AH não proporciona confidencialidade. Vejamos um pouco mais sobre este protocolo. Victor Dalton www. opcionalmente. Tal como o AH o ESP suporta os algoritmos MD5 e SHA-1 para integridade e autenticação. Prof. Note-se que uma SA não pode ser em simultâneo do tipo AH e ESP. O AH proporciona integridade e autenticação. Por isso. procedente dos trabalhos do IETF. integridade e autenticação.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 IPSec é um protocolo de nível 3. usando algoritmos de chave partilhada como o MD5 e o SHA-1. O ESP proporciona confidencialidade e.

o que o tornaria desnecessário. Contudo existe uma diferença entre a integridade e autenticação fornecidas pelo AH e pelo ESP.ORG .com. como já foi dito. Cabeçalho IP original AH TCP Dados |------------------------------------------Testa a integridade ----------------------------------------------| Cabeçalho IP original ESP TCP Dados |-------------------------. Prof.br 42 de 137 WWW. inclusive nenhum (sem segurança). Por essa razão se for importante o controlo da integridade do cabeçalho do pacote IP podem ser usados em conjunto o ESP e o AH.Testa a integridade -----------------------------| |--------------------. O IPSec independe do algoritmo utilizado. ter o dobro das SAs.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Aparentemente O ESP fornece todas as funcionalidades do AH. Victor Dalton www. uma vez que uma SA pode implementar o ESP ou o AH mas não ambos. O IPSec permite a escolha do algoritmo de criptografia a ser empregado.Encriptado ----------------------| O ESP não testa a integridade da totalidade do pacote IP. – verdade. incluindo o cabeçalho IP (tecnicamente alguns campos do cabeçalho são sujeitos a alterações durante o transito não podendo por isso o AH proteger estes valores).CONCURSEIROSUNIDOS. deixando de fora o cabeçalho. O AH testa a totalidade do pacote IPsec.estrategiaconcursos. Isto implica.

6 Firewall O Firewall. e tem um identificador de segurança associado a ela.Uma “conexão” no contexto do IPSec é chamada de associação de segurança. que pode ser um componente ou conjunto de componentes. o cabeçalho IPSec é inserido logo após o cabeçalho IP. No modo de transporte.estrategiaconcursos. Além disso. pode ser visto como uma implementação da política de segurança.” Prof. em seu livro Segurança de Redes em Ambientes Cooperativos.com.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Embora esteja na camada IP.CONCURSEIROSUNIDOS. 1. Pode ser usado no modo de transporte. é encapsulado no corpo de um novo pacote IP com um cabeçalho IP completamente novo. portanto. ou AS (security association). incluindo o cabeçalho. “pode ser definido como um grupo de sistemas que reforça a política de acesso entre duas redes. Tal conexão é simplex. – Este é o modo tunelamento. permitindo que o controle. e. em que todo pacote IP. o IPSec é orientado a conexões . por onde passa todo o tráfego.br 43 de 137 WWW.ORG . pode ser definido como um “ponto entre duas ou mais redes. a autenticação e os registros de todo o tráfego sejam realizados”. segundo Nakamura. Victor Dalton www.

ORG . Bloquear o envio de informações coletadas por invasores e códigos maliciosos.CONCURSEIROSUNIDOS. filtrando códigos maliciosos e barrando a comunicação entre um invasor e um código malicioso já instalado. “obrigando” que determinado fluxo de dados passe por ele. Prof. impedindo que vulnerabilidades em outros computadores sejam exploradas. identificando a origem das tentativas. Evitar que um código malicioso já instalado se propague.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Na prática. Vejamos alguns termos relacionados a firewall: Proxy: Sistemas que atuam como gateway entre duas redes.com. Facilita o controle e gerenciamento de conteúdo na rede. firewalls são utilizados para:      Registrar tentativas de acesso indevidas a um computador ou rede. Bloquear tentativas de invasão e exploração de vulnerabilidades. Analisar continuamente o conteúdo das conexões. Victor Dalton www.estrategiaconcursos.br 44 de 137 WWW.

CONCURSEIROSUNIDOS.estrategiaconcursos.ORG .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Bastion Hosts: equipamentos em que são instalados serviços a serem oferecidos para internet.com. Via de regra. Victor Dalton www.br 45 de 137 WWW. a rede interna continua protegida. que deve ser protegida. Em caso de ataques aos Bastion Hosts. executando somente o mínimo de serviços que devem oferecer. os bastion hosts devem ser servidores fortificados. e a externa. Prof. os Bastion Hosts ficam em zonas desmilitarizadas (DMZs). Por serem máquinas com contato direto com o exterior. por possuir um conjunto de serviços cujo interesse da organização é a divulgação para o público externo. Zona Desmilitarizada (DMZ): Rede que fica entre a rede interna.

ORG .br 46 de 137 WWW. 1. Victor Dalton www.4.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 A DMZ precisa ser isolada do restante da rede porque suas regras de proteção precisam ser mais “frouxas” do que as regras para a rede interna.estrategiaconcursos.CONCURSEIROSUNIDOS. são definidas de acordo com o porte e as necessidades da organização que o implanta. uma vez que os Bastion Hosts podem (e devem) receber acessos externos. um único proxy separando a rede interna da rede externa. Prof.1 Tipos de Arquitetura de Firewall As arquiteturas de um Firewall. via de regra.com. As três arquiteturas clássicas são as seguintes: Dual-Homed Host Architecture: nesta. conforme a figura abaixo.

com.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 É uma estrutura mais econômica.CONCURSEIROSUNIDOS. o host dual-homed é um único ponto de falha. as regras para o acesso à rede externa podem ser implantadas via Bastion Host. e o risco da rede reside nele. Entretanto. Victor Dalton www. ou ambos (o que é chamado de firewall híbrido).estrategiaconcursos.ORG . Por outro lado.br 47 de 137 WWW. falta transparência ao usuário que não sabe como o acesso externo é realizado. Prof. caso o Bastion Host seja comprometido. ou filtro de pacotes. por ser simples. Nele. o invasor já estará na rede interna. Além disso. Screened Host Architecture: é composto por um filtro de pacotes e um Bastion Host. É uma arquitetura mais “madura” que a dual-homed.

funcionarão como verdadeiros filtros de pacotes. O que diferencia a Screened Subnet da Dual-Homed é que os roteadores interno e externo.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Screened Subnet Architecture: acrescenta a DMZ à rede. permite o acesso externo aos serviços disponibilizados pela empresa.4. permite apenas que as respostas das requisições e serviços permitidos aos usuários internos entrem na rede interna. capazes de detectar atividades suspeitas. O filtro de pacote externo.CONCURSEIROSUNIDOS.ORG . Sistemas de Prevenção de Intrusos (IPS). vistos na figura acima. Victor Dalton www.estrategiaconcursos.br 48 de 137 WWW. capazes de prevenir e combater ataques.com. altamente rigoroso. na DMZ. 1. É uma solução ativa! Prof. por meio de filtros externo e interno.2 IPS e IDS Sistemas de Detecção de Intrusos (IDS) são sistemas que monitoram atividades em redes de computadores. um pouco menos rígido. o interno. por sua vez. Configura-se uma solução passiva. são sistemas que implementam regras e políticas para o tráfego de uma rede.

br 49 de 137 WWW. 1. • bloquear todo trafego de entrada ao seu computador (ou seja.ORG .6. As configurações do firewall dependem de cada fabricante. bem elaborada. de acordo com os programas usados.estrategiaconcursos. Victor Dalton www. e possível detectar tentativas de invasão ou rastrear as conexões de um invasor). De forma geral. verifique a procedência e certifique-se de que o fabricante é confiável.CONCURSEIROSUNIDOS.com.3 Recomendações para firewall Cuidados a serem tomados: • antes de obter um firewall pessoal. uma senha boa. Prof. • configure seu firewall para registrar a maior quantidade de informações possíveis (desta forma.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 1.7 Outras boas práticas de segurança da informação A seguir. permitir que seu computador acesse outros computadores e serviços) e.BR. • certifique-se de que o firewall instalado esteja ativo. veremos mais algumas boas práticas se segurança da informação na utilização de equipamentos tecnológicos. impedir que seu computador seja acessado por outros computadores e serviços) e liberar as conexões conforme necessário. a mais indicada é: • liberar todo trafego de saída do seu computador (ou seja. é aquela que é difícil de ser descoberta (forte) e fácil de ser lembrada. São boas dicas tanto para o seu dia-a-dia. bem como podem cair em prova!  SENHAS FRACA E FORTES Segundo a Cartilha CERT.

difíceis de serem digitadas.estrategiaconcursos. números de telefones e datas (estes dados podem ser facilmente obtidos e usados por pessoas que queiram tentar se autenticar como você). sobrenomes. Apesar de senhas longas parecerem.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Alguns elementos que não se deve usar na elaboração de suas senhas: Qualquer tipo de dado pessoal: evite nomes. Alguns elementos que devem ser usados na elaboração de suas senhas são: Numeros aleatórios: quanto mais ao acaso forem os números usados melhor.br 50 de 137 WWW. não devem ser usadas. números de documentos. a princípio. sem necessariamente torna-la difícil de ser lembrada. Procure misturar caracteres. Diferentes tipos de caracteres: quanto mais “bagunçada” for a senha mais difícil será descobri-la. dicionários de diferentes idiomas. etc. Não existe gabarito! Prof. como números. Grande quantidade de caracteres: quanto mais longa for a senha mais difícil será descobri-la. como nomes de músicas. sinais de pontuação e letras maiúsculas e minúsculas. personagens de filmes. O uso de sinais de pontuação pode dificultar bastante que a senha seja descoberta. Existem programas que tentam descobrir senhas combinando e testando estas palavras e que. pois são bastante conhecidas e podem ser facilmente observadas ˜ ao serem digitadas. times de futebol.ORG . portanto. apenas o próprio usuário será capaz de produzir uma senha boa. Porém. Sequencias de teclado: evite senhas associadas a proximidade entre os caracteres no teclado. como “1qaz2wsx” e “QwerTAsdfG”. Palavras que façam parte de listas: evite palavras presentes em listas publicamente conhecidas. contas de usuário. placas de carros. com o uso frequente elas acabam sendo digitadas facilmente. Victor Dalton www. principalmente em sistemas que aceitem exclusivamente caracteres numéricos.CONCURSEIROSUNIDOS.com.

que quando identificado acusa a presença do vírus. então. .Emulação: útil para detectar vírus polimórficos. analisa o “comportamento” do programa.estrategiaconcursos. Entre as diferentes ferramentas existentes.Busca algorítmica: se o arquivo possui um conjunto de instruções peculiar. Apesar de inicialmente eles terem sido criados para atuar especificamente sobre vírus. anular ou remover os códigos maliciosos de um computador. em sua maioria podem funcionar por: . tende a achar que os antivírus apenas reconhecem vírus que já existem e. Victor Dalton www. os antivírus possuem várias técnicas para analisar o conteúdo dos arquivos. fazendo com que alguns deles caíssem em desuso.Sensoriamento heurístico: útil para vírus desconhecidos.br 51 de 137 WWW. Quem não conhece. na verdade. com o passar do tempo.CONCURSEIROSUNIDOS.Método de assinaturas: vírus conhecidos possuem assinaturas. um “pedaço” de arquivo conhecido. analisa o código e reconhece o agente malicioso. para identificá-lo como vírus. . Cuidados a serem tomados: • tenha um antimalware instalado em seu computador (programas online. ele decriptografa o vírus.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 FERRAMENTAS ANTIMALWARE Ferramentas antimalware são aquelas que procuram detectar e.ORG . antirootkit e antitrojan são exemplos de ferramentas deste tipo. Portanto. . acabamos de ver que é bem mais do que isso.com. Antivírus. é reconhecido como vírus. passaram também a englobar as funcionalidades dos demais programas. apesar de bastante úteis. antispyware. ou seja. exigem que seu computador Prof. a que engloba a maior quantidade de funcionalidades e o antivírus. Os antivírus comerciais.

• configure o antimalware para verificar automaticamente arquivos anexados aos e-mails e obtidos pela Internet.estrategiaconcursos.CONCURSEIROSUNIDOS. USO SEGURO DA INTERNET Ao usar navegadores Web: • mantenha-o atualizado.ORG . gravando ou lendo o disco rígido com muita frequência. Prof. DVDs e discos externos). com a versão mais recente e com todas as atualizações existentes aplicadas. afetar o desempenho do computador e interferir na capacidade de detecção um do outro). etc. de preferência diariamente). • utilize programas online quando suspeitar que o antimalware local esteja desabilitado/comprometido ou quando necessitar de uma segunda opinião (quiser confirmar o estado de um arquivo que já foi verificado pelo antimalware local). com a versao mais recente e com todas as atualizações aplicadas. • mantenha o antimalware sempre atualizado. • configure o antimalware para verificar automaticamente os discos rígidos e as unidades removíveis (como pen-drives.). CDs. • mantenha o arquivo de assinaturas sempre atualizado (configure o antimalware para atualizá-lo automaticamente pela rede. • configure o antimalware para verificar toda e qualquer extensão de arquivo. • evite executar simultaneamente diferentes programas antimalware (eles podem entrar em conflito.com. • crie um disco de emergência e o utilize-o quando desconfiar que o antimalware instalado está desabilitado/comprometido ou que o comportamento do computador está estranho (mais lento. Victor Dalton www.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 esteja conectado à Internet para que funcionem corretamente e podem conter funcionalidades reduzidas).br 52 de 137 WWW.

Ao usar programas leitores de e-mails: • mantenha-o atualizado. conforme necessário. verificando-o com ferramentas antimalware. digite o endereço diretamente no seu navegador Web).CONCURSEIROSUNIDOS.com. e apenas em sites confiáveis.ORG .estrategiaconcursos. Web (desligue o modo de • seja cuidadoso ao usar cookies caso deseje ter mais privacidade. • seja cuidadoso ao usar cookies caso deseje ter mais privacidade. com a versão mais recente e com as todas atualizações aplicadas. tenha certeza de cadastrar uma chave mestra e de jamais esquecê-la (para que somente com a chave mestra seja possível visualizar as outras senhas salvas pelo navegador). • não utilize-o como navegador visualização no formato HTML).Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 • configure-o para verificar automaticamente atualizações. para liberar gradualmente a execução.br 53 de 137 WWW. tanto dele próprio como de complementos que estejam instalados. • permita que programas ActiveX sejam executados apenas quando vierem de sites conhecidos e confiáveis. • desconfie de arquivos anexados a mensagem mesmo que tenham sido enviados por pessoas ou instituições conhecidas (o endereço do remetente pode ter sido falsificado e o arquivo anexo pode estar infectado). como o NoScript (disponível para alguns navegadores). Victor Dalton www. • permita a execução de programas Java e JavaScript. • caso opte por permitir que o navegador grave as suas senhas. tanto dele próprio como de complementos que estejam instalados. • seja cuidadoso ao clicar em links presentes em e-mails (se você realmente quiser acessar a página do link. • configure-o para verificar automaticamente atualizações. Prof. porém assegure-se de utilizar complementos. • antes de abrir um arquivo anexado a mensagem tenha certeza de que ele não apresenta riscos.

• use sempre criptografia para conexão entre seu leitor de e-mails e os servidores de e-mail do seu provedor.estrategiaconcursos. Finda essa “enxurrada” de conhecimento. que tal uma bateria de exercícios para consolidar o conhecimento? Prof. • desligue as opções que permitem abrir ou executar automaticamente arquivos ou programas anexados as mensagens. Victor Dalton www. JavaScript e de programas • habilite.br 54 de 137 WWW.CONCURSEIROSUNIDOS.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 • verifique se seu sistema operacional está configurado para mostrar a extensão dos arquivos anexados.com. • desligue as opções de execução de Java. opções para marcar mensagens suspeitas de serem fraude.ORG . se possível.

Prof. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) Na Secretaria da Fazenda do Estado do Piauí a assinatura digital permite comprovar que uma informação foi realmente gerada por quem diz tê-la gerado e que ela não foi alterada. (C) é autêntica e está íntegra. alternativa c).estrategiaconcursos.CONCURSEIROSUNIDOS. (B) é autêntica e confidencial. II. A chave privada é armazenada em dispositivo portátil inviolável do tipo smart card ou token.br 55 de 137 WWW. Victor Dalton www. Resposta certa. (D) não pode ser repudiada e é autêntica. (E) não pode ser repudiada e é confidencial. que é possível comprovar que uma informação (A) é privada e está sempre disponível. que também é utilizado para realizar a assinatura digital. A assinatura digital garante a autenticidade (por meio das chaves privada/pública) e a integridade da mensagem (por meio do hash). As características dos certificados digitais I e II são descritas a seguir: I. respectivamente. Isto equivale a afirmar. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) O certificado digital utilizado na Nota Fiscal Eletrônica (NF-e) deverá ser adquirido junto à Autoridade Certificadora credenciada pela Infraestrutura de Chaves Públicas Brasileira − ICP-Brasil. que possui um chip com capacidade de realizar a assinatura digital. devendo ser do tipo …I… ou …II… e conter o CNPJ de um dos estabelecimentos da empresa. A chave privada é armazenada no disco rígido do computador.com. 2.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 EXERCÍCIOS COMENTADOS 1.ORG .

Prof. (A) S1 e S2. Ambos conhecem a chave privada. ele terá que usar a chave privada. Resposta certa.br 56 de 137 WWW. Para Antônio decodificar a mensagem que recebeu de João. Para Antônio decodificar a mensagem que recebeu de João. (C) S1 e S3.ORG . (B) A2 e A3. relacionada à chave pública usada no processo por João. 3. ele terá que usar sua chave pública. Somente Antônio conhece a chave privada. João envia uma mensagem criptografada para Antônio. (D) A2 e A4. Victor Dalton www. (B) a chave pública de Antônio. Para Antônio decodificar a mensagem que recebeu de João. alternativa e). ele terá que usar sua chave privada. Somente João conhece a chave privada. ele terá que usar a chave pública.com. (D) a chave privada de Antônio.CONCURSEIROSUNIDOS. respectivamente. Para codificar o texto da mensagem. (E) sua chave privada. Para Antônio decodificar a mensagem que recebeu de João. Cada um conhece apenas sua própria chave privada. relacionada à chave privada usada no processo por João.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 I e II são. relacionada à chave pública usada no processo por João. pois certificados de sigilo não serão utilizados para emissão de NF-e. (C) a chave pública de Antônio. (E) A1 e A3. Para Antônio decodificar a mensagem que recebeu de João. ele terá que usar a chave privada. João usa (A) a chave privada de Antônio. Não cabe marcar S1 e S3. Os certificados do tipo A1 são armazenados no computador. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) Em determinada instituição. enquanto os certificados A3 são armazenados em smart card ou token.estrategiaconcursos. Ambos conhecem a chave privada. utilizando criptografia assimétrica.

alternativa b).Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Na criptografia assimétrica. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) s arquivos digitais no padrão definido em norma e do aplicativo GeraTEDeNF. Victor Dalton www. entre várias outras coisas. Esta padronização de infraestrutura de chave pública é definida pela ITU-T. a empresa deverá possuir um certificado digital. Resposta certa. que forma par com a chave pública utilizada no processo.com. em um padrão específico. será capaz de decifrar a mensagem com a própria chave privada.v3. (D) X509. 4. emitido por Autoridade Certificadora credenciada à ICP/BR que contenha o CNPJ da empresa. emitido por Autoridade Certificadora credenciada à ICP/BR. este deverá utilizar a chave pública de Antônio. única parte que conhece sua própria chave privada. alternativa d). (E) SPDK/SDSI. No site http://nf-eletronica.ORG . permitindo autenticação forte. o formato dos certificados digitais. Um padrão específico de certificado digital usado na ICP Brasil (ICP/BR) é citado em ambos os textos e especifica.com consta o seguinte texto adaptado: O Projeto Nota Fiscal Eletrônica (NF-e) exige o uso de Certificado Digital em um padrão específico.CONCURSEIROSUNIDOS. A ICP Brasil utiliza o padrão X509 v3 como padrão de certificação digital. Trata-se do padrão (A) X509. (C) PGP.estrategiaconcursos. Resposta certa. O uso de certificado digital de pessoa física emitido por Autoridade Certificadora credenciada à ICP/BR. Antônio. de tal maneira que se possa amarrar firmemente um nome a uma chave pública.br 57 de 137 WWW. Prof.v6. para que João envie uma mensagem para Antônio. (B) SET. que contenha o CPF do titular será permitido desde que a SEFAZ-PI seja comunicada previamente através da apresentação do Termo de Outorga de Poderes para Assinatura e Transmissão de Arquivos Digitais firmada pelo representante legal da empresa.

estrategiaconcursos. predefinidas ou obtidas na Internet. Para isto. o processo de propagação e infecção recomeça. pela exploração de vulnerabilidades em programas sendo executados no computador alvo no momento do recebimento da cópia. Após identificar os alvos. ele efetua cópias de si mesmo e tenta enviá-las para estes computadores. ele tenta se propagar e continuar o processo de infecção. como parte da exploração de vulnerabilidades existentes em programas instalados no computador alvo. a partir deste momento. c. identificação dos alvos. c. por uma ou mais das seguintes formas: a. d. Após infectar um computador. utilizar informações contidas no computador infectado. a qual ele está condicionado como. pela realização de uma ação específica do usuário. c. efetuar varredura na rede e identificar computadores ativos. sendo que. Victor Dalton www. anexadas a e-mails. diretamente pelo usuário.com. a inserção de uma mídia removível. o computador que antes era o alvo passa a ser também originador dos ataques. imediatamente após ter sido transmitido. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) Considere o seguinte processo de propagação e infecção de um tipo de malware. via programas de troca de mensagens instantâneas. Após realizado o envio da cópia. Após o alvo ser infectado. contendo a d. b. incluídas em pastas compartilhadas em redes locais ou do tipo P2P (Peer to Peer).Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 5. aguardar que outros computadores contatem o computador infectado. b.CONCURSEIROSUNIDOS. por exemplo. pela execução de uma das cópias enviadas ao seu computador.ORG . ele necessita ser executado para que a infecção ocorra.br 58 de 137 WWW. o que pode ser feito de uma ou mais das seguintes maneiras: a. Trata-se do processo de propagação e infecção por Prof. como arquivos de configuração e listas de endereços de e-mail. b. necessita identificar os computadores alvos para os quais tentará se copiar. utilizar listas. o que pode acontecer de uma ou mais das seguintes maneiras: a.

por meio do uso de programas específicos. (D) spyware. (C) trojan. (B) backdoor. (E) worm. com o objetivo de identificar informações sigilosas. para ludibriar o destinatário.CONCURSEIROSUNIDOS.br 59 de 137 WWW.Informática – 2015) E-mail spoofing é uma técnica que pode ser utilizada para propagação de códigos maliciosos. quanto ao remetente. (E) efetuar buscas minuciosas no computador do usuário. foi enviado de outra. A questão explica em detalhes o funcionamento de um worm. Prof.estrategiaconcursos. (C) falsificar o protocolo SMTP para inspecionar os dados trafegados na caixa de e-mail do usuário. 6. Victor Dalton www. (FCC – TCM/GO – Auditor de Controle Externo . (B) alterar as configurações de um servidor de e-mail para que dispare uma infinidade de e-mails falsos até encher a caixa de correio de um ou muitos usuários.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 (A) vírus. principalmente. na verdade. envio de spam e golpes de phishing. O email spoofing consiste no envio de email modificando dados do cabeçalho. de forma a aparentar que ele foi enviado de uma determinada origem quando. de forma que os e-mails do usuário sejam direcionados para outra conta sem que ele saiba. Resposta certa. Resposta certa.com. alternativa e). (D) alterar os campos do cabeçalho de um e-mail. que é um malware autorreplicante.ORG . Esta técnica consiste em (A) alterar os campos do protocolo SMTP. alternativa d).

DVD ou pen drive criptografado. cifrado por software. Victor Dalton www. (E) em CD.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 7. 8. que apresenta a característica de que (A) um usuário U3 que tenha recebido dados criptografados de um usuário U4 deve conhecer a chave privada de U4 para decodificar os dados.CONCURSEIROSUNIDOS. (D) em repositório protegido por senha. (D) se um usuário U1 quiser trocar dados com um usuário U2 deve criptografar os dados com a chave privada de U2. em que um dos mecanismos utilizados consiste na criptografia de chave pública. (C) no computador pessoal do usuário. (C) cada usuário do sistema de banco de dados possui apenas duas chaves privadas e nenhuma chave pública. armazenados e processados (A) na nuvem. Neste tipo de certificado os dados são gerados.ORG . (FCC – TCM/GO – Auditor de Controle Externo . O certificado do tipo A3 é armazenado em smart card ou token. Resposta certa. (B) em um cartão inteligente ou token. alternativa b). informações e serviços no ambiente informatizado.com. Prof. em repositório sob responsabilidade da ICP-Brasil. (FCC – CNMP – Analista – Suporte e Infraestrutura – 2015) Uma das formas de se implementar a segurança em um sistema de bancos de dados é por meio da criptografia de dados. (E) cada usuário do sistema de banco de dados possui apenas duas chaves públicas e nenhuma chave privada.estrategiaconcursos. (B) cada usuário do sistema de banco de dados possui uma chave pública e uma chave privada.Informática – 2015) Considere que o TCM/GO decidiu adquirir certificados digitais ICPBRASIL do tipo A3 para que seus servidores possam acessar os sistemas.br 60 de 137 WWW.

deve-se cifrar a mensagem com a chave pública de Ux. (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia da Informação – 2015) Esquemas de criptografia com chave simétrica e com chave assimétrica são utilizados para os diferentes tipos de transferência de dados e informações. Alternativa b). 10. (E) Acesso ao sistema operacional Windows 2008 Server por meio de senha. a que utiliza o esquema de chave assimétrica é (A) DES. Victor Dalton www.com. RSA é o único método dentre as alternativas que apresenta um esquema de chave assimétrica. Prof. Para enviar uma chave a Ux. a criptografia é a técnica que utiliza a cifragem e. (C) IDEA.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Na criptografia de chave pública.ORG . alternativa b). ou as pessoas autorizadas. (FCC – CNMP – Analista – Suporte e Infraestrutura – 2015) Em segurança da informação. que decifrará a mensagem com sua chave privada. possam ler a informação original. 9. Resposta certa. É um recurso de segurança que utiliza o esquema de criptografia de chave assimétrica: (A) Acesso ao gerenciador de banco de dados Oracle 10g por meio de senha.br 61 de 137 WWW. ou seja. (B) RSA. (E) AES. (B) Segurança WEP para redes sem fio WiFi. (C) Acesso ao sistema operacional Linux Xen por meio de senha.CONCURSEIROSUNIDOS.estrategiaconcursos. (D) Internet banking. cada usuário possui uma chave pública e uma chave privada. uma chave criptográfica para transformar a informação original para que apenas o interlocutor. frequentemente. (D) RC4. Dentre as diferentes técnicas de criptografia atualmente utilizadas. acesso aos serviços bancários pela internet.

estrategiaconcursos. (D) Spyware. (C) Botnet. (E) Rootkit. pode afetar o desempenho de redes e a utilização de computadores. (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia da Informação – 2015) Sobre um programa de código malicioso − malware. alternativa d). Diferente do vírus. o sintoma relatado aparenta ser a ação de um malware do tipo (A) Backdoor. não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos. por meio do protocolo HTTPS. 11. É notadamente responsável por consumir muitos recursos devido à grande quantidade de cópias de si mesmo que costuma propagar e. Victor Dalton www. II. Considerando a possibilidade de que um malware está atacando o computador do usuário. Isto significa que o estabelecimento da comunicação entre o seu computador e o site do banco utiliza criptografia assimétrica. como consequência. começaram a aparecer janelas com anúncios na tela do computador. repentinamente.com. enviando cópias de si mesmo de computador para computador. alternativa b). Resposta certa. e com certificação digital. O usuário que começa a sofrer com pop-ups de anúncios certamente está sofrendo a ação de Adware. (FCC – TRT/15ª Região – Técnico Judiciário – Tecnologia da Informação – 2015) O usuário de um computador conectado à internet está se queixando que. mas sim pela execução direta de suas Prof. Programa capaz de se propagar automaticamente pelas redes. (B) Adware. Resposta certa. considere: I.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 O Internet Banking sempre utiliza comunicação criptografada.ORG .br 62 de 137 WWW.CONCURSEIROSUNIDOS. III. 12.

II e III tratam de características de um (A) Keylogger. alternativa c). as células assinaladas por um tique. Resposta certa. (B) Scan. abaixo. (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia da Informação – 2015) Considere. um worm.CONCURSEIROSUNIDOS. (E) Trojan Proxy.estrategiaconcursos. Prof.com. Os itens I. Victor Dalton www. vemos que elas descrevem. com insistência. malware autorreplicante.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores.br 63 de 137 WWW. 13. como características de códigos maliciosos. (D) Spoofing. (C) Worm.ORG . Analisando as alternativas.

(B) assimétrica.ORG . (E) Rootkit e Backdoor. I e II correspondem. você diferenciaria backdoor de rootkit nas ações maliciosas mais comuns. Resposta certa.CONCURSEIROSUNIDOS. não altera arquivos nem instala outros códigos maliciosos. Dentre os esquemas de criptografia. você faria essa questão por eliminação.com. pois ele pode ser recebido por email. b) e d). São características do Backdoor e Rootkit. (D) Trojan e Backdoor. uma que o backdoor. (FCC – TRT/3ª Região – Analista Judiciário – Tecnologia da Informação – 2015) O Analista Judiciário da área de TI incumbido de melhorar a segurança da informação do TRT da 3a Região deseja escolher o esquema de criptografia a ser utilizado para uma transferência de urgência de grande quantidade de dados entre os Tribunais.BR. (E) simétrica devido à facilidade que este apresenta para gerenciar grande quantidade de chaves se comparado ao de chave assimétrica.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Neste caso. (D) assimétrica. 14. o que o torna mais seguro que o de chave simétrica. a).estrategiaconcursos. (C) simétrica devido à facilidade que este apresenta para enviar a chave pela internet de forma segura. correta e respectivamente a (A) Rootkit e Trojan. Trojan seria eliminado com certa facilidade. Eliminando três alternativas. pois utiliza um algoritmo eficiente e de maior desempenho de processamento se comparado ao de chave simétrica. Victor Dalton www. A questão acima extraiu um enxerto do resumo comparativo de malwares da Cartilha da CERT. Prof. o que não está marcado em I e II. (C) Backdoor e Rootkit. respectivamente. (B) Trojan e Rootkit. o Analista deve escolher o de chave (A) simétrica. pois apresenta maior velocidade de processamento se comparado ao de chave assimétrica. pois requer a utilização de duas chaves para criptografar e descriptografar a informação. por si só.br 64 de 137 WWW. Na prática. alternativa c).

O AES realiza a cifragem sobre blocos de 128 bits e admite chaves de 128. A rigor. mas não tem meios para enviar um código secreto (chave) de forma segura para aquele Tribunal. Mas esta última está fora de contexto com o que se pede na questão. Nessa situação. (E) 240. o técnico deve utilizar o esquema de criptografia de chave (A) simétrica. (C) assimétrica. de (A) 192. o algoritmo do AES realiza a cifragem sobre blocos de dados com tamanho.br 65 de 137 WWW. Diferentemente do DES. de outro Tribunal. criptografada. Ele deve receber uma informação de forma segura. ou seja. 16. (B) privada.CONCURSEIROSUNIDOS.estrategiaconcursos.com. 15. que fala em transferir urgentemente grande quantidade de dados. alternativa c). em bits. (FCC – TRT/3ª Região – Técnico Judiciário – Tecnologia da Informação – 2015) O técnico judiciário da área de TI do TRT da 3a Região deve escolher o esquema de criptografia mais adequado para a seguinte situação. precisamos contextualizar a resposta com a questão. Resposta certa. (C) 128. cuja segurança havia sido quebrada.ORG .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Tendo em mente que o algoritmo assimétrico é mais seguro e o algoritmo simétrico é mais rápido (em termos de processamento). (FCC – TRT/3ª Região – Analista Judiciário – Tecnologia da Informação – 2015) O algoritmo de criptografia AES foi desenvolvido para substituir o DES. (D) 512. (B) 256. as alternativas a) e d) trazem consigo sentenças corretas. Victor Dalton www. Prof. 192 e 256 bits.

(D) armazenar. (B) criar uma chave criptográfica específica e personalizada para o arquivo a ser transmitido pela rede. em um arquivo. (E) isolada. alternativa a). 18. O hash é um arquivo de tamanho fixo gerado a partir da mensagem original. (FCC – TRT/3ª Região – Técnico Judiciário – Tecnologia da Informação – 2015) Diversos recursos e ferramentas são utilizados para melhorar a segurança da informação.estrategiaconcursos.br 66 de 137 WWW. Resposta certa. (E) checar a veracidade de uma assinatura digital junto a uma Autoridade Certificadora. (FCC – TRT/3ª Região – Técnico Judiciário – Tecnologia da Informação – 2015) Um dos padrões de criptografia mais difundidos mundialmente é o Data Encryption Standard − DES. principalmente a transmissão de informações pela rede de computadores. Nesse contexto.com. devido à fragilidade identificada no DES que utiliza uma chave com Prof.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 (D) unificada. Se o hash gerado no destino for igual ao hash enviado. alternativa c). que gerará um hash com base na mensagem que chegou. e transmitir a chave assimétrica utilizada para criptografar os dados. uma vez que a chave pública pode ser disponibilizada em um meio não seguro. Seu objetivo é verificar a integridade da mensagem no seu destinatário. Victor Dalton www. Atualmente ele é utilizado na forma denominada Triple DES. o hash é utilizado para (A) gerar um conjunto de dados de tamanho fixo independentemente do tamanho do arquivo original. Nesta questão.CONCURSEIROSUNIDOS. (C) verificar a autenticidade da mensagem utilizando a chave simétrica gerada no processo de hashing. 17. é evidente que o usuário deverá utilizar uma chave assimétrica. independentemente do seu tamanho.ORG . a mensagem é íntegra. Resposta certa.

Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 (A) 48 bits. implantada e em contínuo processo de revisão. Resposta certa. Prof. com técnicas criptográficas o mais claro e simples possível. implantadas e em contínuo processo de revisão.com. implantada e imune a revisões. claramente sustentada pela alta hierarquia da área de informática. quando possível. em contínuo processo de desenvolvimento. (E) 64 bits. válida para os setores críticos da organização. fiscalizada por toda a organização. e estrutura gerencial e material de terceirização de procedimentos. com regras criptografadas e estrutura matricial e material de priorização dessa política. (D) 84 bits. válida para toda a organização. claramente sustentada pela alta hierarquia. claramente sustentada pela alta hierarquia. válidas para os responsáveis pela segurança.br 67 de 137 WWW. com regras o mais claro e simples possível. A chave consiste nominalmente de 64 bits. Os oito bits restantes são utilizados para verificar a paridade. e estrutura gerencial e material de suporte a essa política. (C) 128 bits. c) política e diretrizes de implantação. sustentada pela alta hierarquia.CONCURSEIROSUNIDOS.ORG . com regras o mais claro e simples possível. (ESAF – Superintendência de Seguros Privados – Tecnologia da Informação – 2010) Por política de segurança entende-se a) política planejada. alternativa b). b) política elaborada. Victor Dalton www. claramente sustentada pelos gestores do nível operacional. (B) 56 bits. com estrutura gerencial de regras de formalização individualizada dessa política nas unidades organizacionais. válida para toda a organização. 19. porém somente 56 deles são realmente utilizados pelo algoritmo.estrategiaconcursos. e) o conjunto de diretrizes e metas elaboradas. e estrutura gerencial de fiscalização dessa política. d) política elaborada.

minimizar o risco ao negócio. Nem precisa continuar lendo. veja que podemos trabalhar as alternativas por eliminação: a)a alternativa “a” fala em política apenas para os setores críticos da organização. você constatará que o bom-senso pode ser um forte aliado na resolução deste tipo de questão. Esse livro não nos será necessário. II. maximizar o retorno sobre os investimentos e as oportunidades de negócio”.com. Fala em “terceirização de procedimentos” e em suporte “quando possível”.ORG . d)Política “imune a revisões”. Ainda.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 A ESAF extraiu essa definição de um parágrafo grifado na página 24 do livro do Caruso. Prof. Segurança em Informática e de Informações.br 68 de 137 WWW. diretrizes. (FCC – TRT 24ª Região – Analista Judiciário – Tecnologia da Informação – 2011 .adaptada) Considere: I. e uma observação mais atenta nos conduzirá à resposta correta. Confirmando.estrategiaconcursos. alto nível. Eliminada. esta mesma norma diz que o objetivo da política da segurança da informação é “prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes”. c)Política ”com regras criptografadas”? Estamos falando de políticas. Salvaguarda da exatidão e completeza da informação e dos métodos de processamento.CONCURSEIROSUNIDOS. Segurança da informação é preocupação de TODOS! Eliminada. e)Nesta os erros estão um pouco mais velados. A norma ISO 27002 define a Segurança da Informação como “a proteção da informação de vários tipos de ameaças para garantir a continuidade no negócio. Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. 20. letra b).” Sendo conhecedor esta definição e entendendo o intuito dela. alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização. Victor Dalton www. e que “convém que a direção estabeleça uma política clara. dá pra ficar em dúvida entre a letra e) e a letra b). Ao longo das questões de Segurança da Informação. Na pior das hipóteses.

II e III correspondem. pessoal. Integridade: Salvaguarda da exatidão e completeza da informação e dos métodos de processamento. a a) disponibilidade. Na ISO/IEC 17799(27002). 21. Victor Dalton www.estrategiaconcursos. I.ORG .CONCURSEIROSUNIDOS. (FCC – SEFAZ/SP – Agente Fiscal de Rendas – 2013) Um dos recursos básicos utilizados na segurança da informação é a criptografia que tem como objetivo assegurar a Prof.com.br 69 de 137 WWW. d) confidencialidade. b) confiabilidade. Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. integridade e distributividade. e) integridade. Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. Sem mistérios. integridade e confiabilidade. respectivamente.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 III. Alternativa c). c) confidencialidade. integridade e disponibilidade. Preciso falar sobre isso? Segundo a norma: Confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. confiabilidade e disponibilidade. confiabilidade e disponibilidade.

mas continuo achando que essa questão deveria ter sido anulada.com. pois não vejo forma mais inteligente de se cobrar o conhecimento a respeito da cifra de César. 22. Nessa questão vou chiar um pouco. provavelmente a privacidade é a mais importante delas. b) disponibilidade. a questão seria passível de anulação por colocar tanto privacidade como integridade entre as alternativas. (FCC – Banco Central do Brasil – Analista Área 1 – 2006) NÃO é uma cifra de César resultante da criptografia sobre uma mesma mensagem: a) F H Q W U D O. eu marcaria a alternativa d). a criptografia possui quatro propriedades. Por eliminação. e eu já falei isso antes. d) I K T Z X G R. c) integridade. Segundo Nakamura. Victor Dalton www. pra mim. e) legalidade. Prof. Eu simplesmente adoro esta questão. c) E G P V T C N. para a proteção da informação.CONCURSEIROSUNIDOS. b) K M V C W J Q.estrategiaconcursos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 a) consistência. a saber:  Confidencialidade (privacidade) – sigilo entre as partes envolvidas  Integridade – a informação não sofrer alterações  Autenticação (do remetente) – poder saber quem é o remetente  Não-repúdio – o remetente não poder negar a autoria da mensagem Se nós fôssemos hierarquizar essas propriedades.ORG .br 70 de 137 WWW. Mas. ou objetivos. d) privacidade. e) G I R X V E P.

Alternativa d). e +2 vira KMVBZIT. Ataque por força bruta: o atacante experimenta cada chave possível em um trecho de texto cifrado. Na média. EGPVTCN + 1 vira FHQWUDO (letra a). (FCC – Banco Central do Brasil – Analista Área 1 – 2006) Em uma criptografia. o que podemos fazer é tomar uma alternativa como referência e compará-la com as demais. -1. Já vimos que a engenharia reversa da criptografia se desenvolve de duas formas: Criptoanálise: os ataques criptoanalíticos contam com a natureza do algoritmo e talvez mais algum conhecimento das características gerais do texto claro.estrategiaconcursos. c) acrescentar aleatoriedade aos dados. usando a famosa regrinha do +1.br 71 de 137 WWW. e) ocultar uma determinada informação para torná-la imperceptível. +1 vira GIRXVEP (letra e).ORG . (ESAF – Auditor de Finanças e Controle – Infraestrutura de TI – 2012) Comparando a criptografia simétrica com a assimétrica. a alternativa b) está errada.CONCURSEIROSUNIDOS. Logo. sem conhecer a mensagem original. d) quebrar uma criptografia simétrica por meio de busca exaustiva da chave. etc.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Quem já teve infância já trocou bilhetes “criptografados” na escola. + 2 vira IKTZXGR (letra d). ou ainda algumas amostras do texto claro e texto cifrado.com. Por exemplo. até obter uma tradução inteligível para o texto claro. +2. 24. A criptoanálise pode ser considerada o oposto da criptologia. Victor Dalton www. 23. b) tornar complexa a relação entre a chave e a cifra. observa-se que Prof. tornando maior o caos. o conceito de força bruta significa uma técnica para a) eliminar todas as redundâncias na cifra. metade de todas as chaves possíveis precisam ser testadas para se obter sucesso. Esta é a cifra de César. escrevendo CASA como DBTB ou BZRZ. O objetivo é deduzir o texto em claro ou a chave utilizada. que é a arte de criar mensagens cifradas. comparo-a uma a uma com as outras. Pois bem. Escolhendo a alternativa c) como referência.

d) a primeira possui o problema do desempenho em redes sem fio.estrategiaconcursos.ORG . no qual a chave pública do destinatário é utilizada para a criptografia da informação. ao passo que a segunda possui o problema da geração de chaves. Criptografia com chave simétrica. e apenas a chave privada consegue realizar a decifragem. ao passo que a segunda possui o problema do desempenho em ambientes corporativos.com.br 72 de 137 WWW. Victor Dalton www. ao passo que a segunda possui o problema da criação e distribuição de chaves. Prof. ao passo que a segunda possui o problema do desempenho. c) a primeira possui o problema da distribuição e gerenciamento de chaves. por sua vez. ao passo que a segunda possui o problema da complexidade binária. Revisando: Os algoritmos de chave simétrica são uma classe de algoritmos para a criptografia. como a utilização de números primos extensos. Normalmente utilizam o conceito de chave pública e chave privada.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 a) a primeira possui o problema do gerenciamento de chaves. Os algoritmos de chave assimétrica. b) a primeira possui o problema da privacidade da chave universal. trabalham com chaves distintas para a cifragem e decifragem. e) a primeira possui o problema do desempenho. Requer o emprego de algoritmos complexos. que usam chaves criptográficas relacionadas para as operações de cifragem e decifragem.CONCURSEIROSUNIDOS.

respectivamente.com. Victor Dalton www. mental imediata: criptografia de chave simétrica e Alternativa d).2012) Corresponde a uma função de hash criptográfico.CONCURSEIROSUNIDOS. e) criptografia de chave pública e método de espalhamento Associação assimétrica. a um Prof.estrategiaconcursos. b) método de espalhamento e PKI. Utiliza uma mesma chave tanto para codificar como para decodificar informações. que pode ser livremente divulgada. (FCC – MPE/MA – Analista Ministerial – Segurança da Informação – 2013) Considere: I. d) criptografia de chave simétrica e de chave assimétrica.br 73 de 137 WWW. c) função de resumo e assinatura digital.ORG . sendo usada principalmente para garantir a confidencialidade dos dados. uma chave para cada usuário Processamento Gerenciamento das chaves Ataques força bruta de São perigosos CHAVE ASSIMÉTRICA Pública (divulgada livremente) Privada(secreta) Chave pública cifra a mensagem e chave privada decifra Lento Simples. a) assinatura digital e função de resumo. e uma privada. basta divulgar a chave pública São ineficazes (números primos muito grandes) Lembrou? Portanto. Quando uma informação é codificada com uma das chaves. nossa resposta correta é a letra c). 26. 25.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Criptografia assimétrica CHAVE SIMÉTRICA Única Chaves Funcionamento Mesma chave cifra e decifra Veloz Complicado. II. Os itens acima descrevem. (FCC – TRT 11ª Região – Analista Judiciário – Tecnologia da Informação . somente a outra chave do par pode decodificá-la. Utiliza duas chaves distintas: uma pública.

uma vez que tornaria a questão demasiadamente longa e complexa. As bancas não costumam se aprofundar a nível matemático neles. DES e RSA. MD5 e DES. MD-5 (Message Digest Algorithm 5) . mais avançado da categoria. (FCC – TRT 6ª Região – Analista Judiciário – Tecnologia da Informação – 2012) A respeito de algoritmos criptográficos. c) 3DES. b) MD5. sucede o MD5. alternativa a). Questões sobre algoritmos costumam ser bastante objetivas. 192 e 256 bits. b) SHA1 é um exemplo de algoritmo de criptografia com aplicações que não são criptográficas como. e) Diffie-Hellman. usa um tamanho de bloco de 128 bits e admite chaves de 128. números primos muito grandes. Diffie-Hellman e RSA. a) SHA-1.br 74 de 137 WWW. SHA-1 (Secure Hash Algorithm 1) – algoritmo de hash. AES (Advanced Encryption Standard) – simétrico. por exemplo. até 3 chaves. SHA-1 e RC6. a verificação de integridade de dados.com.estrategiaconcursos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 algoritmo de criptografia simétrica e a um algoritmo de chave pública. porque este último é suscetível a "ataques de força bruta". MD5 e RC5. 27. RSA – assimétrico de chave pública. é correto afirmar que a) AES é um exemplo de criptografia de chave assimétrica. d) DES é considerado mais seguro que AES. 3-DES (Triple DES) – simétrico. respectivamente. Resposta certa.CONCURSEIROSUNIDOS. verifica integridade de dados. c) RSA é um exemplo de criptografia de chave simétrica. d) AES. Revisando: DES (Data Encryption Standard) – simétrico. Victor Dalton www.ORG . Prof.algoritmo de hash.

Victor Dalton www. percebe-se que a questão exige. b) SHA 1. 29. e) AES.ORG . Alternativa e). De posse dessa chave pública e do algoritmo. Vamos lá: Prof. o usuário mal-intencionado a) pode ler o conteúdo das mensagens enviadas de João a Marcela. c) RSA. 192 ou 256 bits é conhecido como: a) PKCS#7. O desafio é levar esse conhecimento fresco para o dia da prova. e) consegue obter a chave privada utilizando ataques de SQL Injection.com.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 e) AES é considerado mais seguro que DES. (Cesgranrio . a questão chega a parecer boba. a chave pública de João. mais do que saber se o candidato decorou os conceitos. porque este último utiliza chaves assimétricas. Não se pode deixar ser confundido pelas alternativas. é possível avaliar com precisão se ele sabe o funcionamento das chaves. 28. De imediato. quando este iniciou uma comunicação criptografada (algoritmo assimétrico) com Marcela. mas não o inverso. além do tipo de algoritmo utilizado na criptografia.CONCURSEIROSUNIDOS. d) DES.br 75 de 137 WWW. b) pode ler o conteúdo das mensagens enviadas de Marcela a João. Quando o conhecimento está fresco na cabeça.estrategiaconcursos. mas não o inverso.BNDES – Analista de Suporte de Sistemas – 2010) Um usuário mal-intencionado obteve. Cada alternativa apresenta uma informação incorreta. d) consegue obter a chave privada a partir de ataques de dicionário. com exceção da letra b). c) não tem acesso ao conteúdo das mensagens de posse desses itens. (FCC – TJ/PE – Analista Judiciário – Analista de Suporte – 2012) O padrão de criptografia que é uma cifra simétrica de bloco que usa um tamanho de bloco de 128 bits e um tamanho de chave de 128.

Victor Dalton www. associada a um token. continuará sem acesso a informação alguma.ORG . E daí? Suponha que o tipo seja a utilização de números primos muito grandes. e) ser a versão eletrônica de uma cédula de identidade. ele NADA pode fazer. Lembrando que são três as formas de assinaturas digitais: Assinatura digital baseada em Chave Secreta Quando uma entidade quer enviar uma mensagem assinada digitalmente à outra. terá que a cifrar. b) identificar um usuário por meio de uma senha. em seguida. o que resulta no resumo criptográfico da mensagem.estrategiaconcursos.CONCURSEIROSUNIDOS. 31. Se ele não souber o número primo da chave privada. Alternativa c).Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Quando um usuário mal-intencionado obtém a chave pública de alguém. temse que o algoritmo de assinatura digital é aplicado sobre a assinatura digital recebida. c) garantir a autenticidade de um documento. usando a chave pública do remetente. E as alternativas d) e e) não fazem sentido algum. No máximo. e enviá-la à autoridade Prof. (ESAF – Auditor de Finanças e Controle – Infraestrutura de TI – 2012) Com relação ao processo de verificação de assinatura digital. 30. Resposta certa: letra c). Ah. d) criptografar um documento assinado eletronicamente. Para conseguir ler a mensagem endereçada a alguém é necessário ter a chave privada desse alguém. A assinatura digital é válida se a) os dois resumos obtidos forem simétricos. b) os dois certificados digitais forem iguais. simples assim.br 76 de 137 WWW. Não tem erro: assinatura serve para a verificação do remetente. e) as chaves públicas forem diferentes. (FCC – MPE/MA – Analista Ministerial – Segurança da Informação – 2013) Uma assinatura digital é um recurso de segurança cujo objetivo é a) identificar um usuário apenas por meio de uma senha. poderá verificar a assinatura digital. d) os dois resumos obtidos forem iguais.com. Analisar assinatura digital é a continuação natural da criptografia de chave pública. mas ele também o tipo de algoritmo utilizado na criptografia. com a sua chave secreta. c) o resumo obtido na recepção for o hash do resumo original. o algoritmo de hash é aplicado na mensagem recebida.

garantindo deste modo que apenas ele possa ter efetuado a operação.ORG .CONCURSEIROSUNIDOS. quando a entidade emissora quer enviar uma mensagem assinada digitalmente a outra entidade. Resposta certa: letra d). A esta mensagem será concatenada uma estampilha que só a autoridade central consegue gerar e decifrar.. em seguida. A assinatura digital baseia-se no fato de que apenas o dono conhece a chave privada. ou seja.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 central. e a integridade de uma informação. a entidade emissora terá que gerar o message-digest e cifrálo (assiná-lo) com a sua chave privada. independentemente do tamanho da mensagem. Desta forma. De seguida poderá enviar a mensagem (cifrada ou não) concatenada com a sua assinatura. que ela foi realmente gerada por quem diz e que ela não foi alterada. Esse resumo possui tamanho fixo. e os message-digests (resumos) obtidos devem ser iguais para que a assinatura digital seja verdadeira. Percebe-se que o processo de verificação de assinatura digital cobrado na questão é o terceiro.estrategiaconcursos.. Assinatura digital baseada em Chave Pública Esta aproximação requer que o a entidade emissora saiba a chave pública da entidade receptora e esta saiba as chaves públicas da primeira.. 32. Por sua vez. cifrar o resultado com a chave pública da entidade receptora. da mensagem. (FCC – MPE/MA – Analista Ministerial – Segurança da Informação – 2013) A assinatura digital permite comprovar a . A mensagem passará pela autoridade central que a decifrará com a chave secreta da entidade emissora. Assinatura digital baseada em funções de hash Este esquema baseia-se nas funções de sentido único (one-way hash functions) e tem como base a cifragem de uma parte. Assim. arbitrariamente longa. Desta forma. A entidade receptora decifrará a assinatura com a chave pública da entidade emissora (previamente publicada) e verificará se o message-digest é o esperado. o receptor pode provar a recepção de qualquer mensagem através da estampilha recebida (só a autoridade central consegue produzir uma).. a entidade receptora ao receber a mensagem terá que decifrá-la primeiro com a sua chave privada e de seguida decifrar este resultado com a chave pública da entidade emissora. aquela terá que cifrar a mensagem com a sua chave privada e. O resultado será cifrado com a chave secreta da entidade receptora e enviado.. que em princípio são diferentes.com. Victor Dalton www.br 77 de 137 WWW. obtendo como resultado o chamado message-digest(resumo). Prof.

a resposta é a letra b).CONCURSEIROSUNIDOS... b) pública do emissor. Uma questão bacana para raciocinar em cima do que falamos sobre assinatura digital! A assinatura digital funciona de maneira “oposta” ao envio da mensagem. a chave criptográfica usada para a verificação da autenticidade de um dado emissor por um receptor é a chave a) privada do emissor.. Se E (emissor) envia uma mensagem para R(receptor). c) robustez. Comprovar autoria? Isso parece. 34. alternativa d). e R usa a sua chave privada para decifrála. E utiliza a chave pública de R para criptografar sua mensagem..br 78 de 137 WWW.estrategiaconcursos. Quanto à assinatura da mensagem. E usa a sua chave privada para assinar. b) velocidade. enquanto R usará a chave pública de E para verificar a assinatura.ORG . e) um certificado digital. d) autenticidade. a comprovação da autoria de um determinado conjunto de dados é: a) uma autoridade certificadora.. d) privada do receptor. e) criptografia. (ESAF – Auditor de Finanças e Controle – Infraestrutura de TI – 2008) Em assinaturas digitais. Mais do mesmo. alternativa d). de forma única e exclusiva. d) uma assinatura digital. (FCC – TRT/2ª Região – Técnico Judiciário – Tecnologia da Informação – 2013) Um código anexado ou logicamente associado a uma mensagem eletrônica que permite. Prof. b) uma trilha de auditoria. Victor Dalton www. c) uma chave simétrica. e) simétrica compartilhada entre emissor e receptor. 33.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 A lacuna é preenchida corretamente por a) confidencialidade.com. Portanto. c) pública do receptor.

estrategiaconcursos. e) Federação de Segurança.ORG . (FGV – Senado . pessoa física ou jurídica. É a garantia de que as informações trocadas nas transações eletrônicas não foram alteradas no caminho que percorreram. a entidade responsável pela emissão e pela veracidade dos dados é a Polícia Federal. Esses fatores são conhecidos.com. Quando são realizadas transações. ao passaporte. b) Unidade de Registro de Domínios. por exemplo. respectivamente. d) Comissão Regional de Registros.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 35. Na Internet. No caso do passaporte. ou seja. Não é mesmo? Alternativa a). dois são descritos a seguir: I.br 79 de 137 WWW. o Certificado Digital surge como forma de garantir a identidade das partes envolvidas. quando as transações são feitas de forma eletrônica. por: a) Não-repúdio e Privacidade nas transações b) Não-repúdio e Integridade das mensagens c) Confidencialidade e Integridade das mensagens d) Autenticidade e Integridade das mensagens e) Autenticidade e Privacidade nas transações Prof. por meio de um registro que comprove identidade. no qual constam dados pessoais e a identificação de quem o emitiu. o certificado é assinado pela Autoridade Certificadora (AC). No caso do certificado digital esta entidade é a a) Autoridade Certificadora. II. c) Autoridade de Registro. Victor Dalton www. Relembrando: Um certificado digital normalmente é usado para ligar uma entidade a uma chave pública. É a garantia de que somente o titular do Certificado poderia ter realizado determinada operação. muitas vezes é solicitada uma identificação.CONCURSEIROSUNIDOS. é um documento eletrônico de identidade. (FCC – MPE/MA – Analista Ministerial – Segurança da Informação – 2013) Um certificado digital pode ser comparado a um documento de identidade. Entre os fatores garantidos pela Certificação Digital. de forma presencial. no caso de uma Infraestrutura de Chaves Públicas (ICP).Analista de Sistemas – 2012 – 1ª aplicação) Um certificado digital é um arquivo eletrônico que identifica quem é o seu titular. 36. Para garantir digitalmente.

d) algoritmo de assinatura.garantia de que quem executou a transação não pode negar que foi ele mesmo que executou.  Não-repúdio . c) chave pública do dono do certificado. creio que o “somente o titular” é que direciona a resposta para o não-repúdio. Nesta questão. Enquanto.garantia de que o conteúdo da transação não foi alterado. letra b). os dados básicos que compõem um certificado digital são: − versão e número de série do certificado.br 80 de 137 WWW.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 O bom desse enunciado é que ele já começa definindo o que é o Certificado Digital. ao invés da autencididade. na autenticidade. vemos uma série de elementos que compõem o certificado digital.estrategiaconcursos.  Integridade . Então. Autenticidade e não-repúdio são complementares. e) requerente.CONCURSEIROSUNIDOS.o receptor deverá poder confirmar a assinatura do emissor. Victor Dalton www. na qual o emissor não pode negar a sua autoria. Prof. porque esta questão é polêmica! O Item II você já sabe que é integridade. acho muito importante que você entenda a diferença entre autenticidade e não-repúdio. o receptor consegue confirmar a assinatura do emissor. − dados que identificam o dono do certificado. (FCC – MPE/MA – Analista Ministerial – Segurança da Informação – 2013) De forma geral. o nãorepúdio é a consequência lógica. mas o I é autenticidade ou não-repúdio? De antemão. É INCORRETO dizer que dentre estes dados também se inclua: a) validade do certificado. A alternativa que eu espero que você não somente tenha achado errado. Continuando: O certificado digital oferece garantias de:  Autenticidade . Eu não vou desperdiçar nem o meu e nem o seu tempo. Eu não vou ficar defendendo a banca (mesmo porque não é a FGV a nossa avaliadora). b) chave privada do dono do certificado. − dados que identificam quem emitiu o certificado. 37.com. Espero que você não esqueça essa ideia! Resposta certa. Entretanto. já digo que o gabarito é não-repúdio. no item I.ORG .

e) O usuário destinatário não precisa de nenhuma ajuda do usuário emitente para reconhecer sua assinatura e o emitente não pode negar ter assinado o documento. b) O documento assinado não pode ser alterado: se houver qualquer alteração no texto criptografado este só poderá ser restaurado com o uso da chave pública do emitente.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 mas achado um absurdo. d) I e III apenas. portanto. Victor Dalton www. Tranquilo? Alternativa c). a assinatura não pode ser repudiada. por sua vez.br 81 de 137 WWW. ela não é reutilizável. a assinatura é autêntica. II – Equivalente ao RG ou CPF de uma pessoa.estrategiaconcursos. portanto. que assegura a legitimidade do autor da mensagem. que comprova a autoria da mensagem. é INCORRETO afirmar: a) Quando um usuário usa a chave pública do emitente para decifrar uma mensagem. pois somente o emitente conhece sua chave secreta. III – O mesmo que uma assinatura digital. Está correto o que consta em: a) I apenas. d) A assinatura é uma função do documento e não pode ser transferida para outro documento. é a alternativa b).com. c) I e II apenas. A chave privada NUNCA É REVELADA! 38. b) III apenas. O certificado. e) I. Prof. O certificado digital não é a assinatura digital! A assinatura é um código que acompanha uma mensagem. portanto. II e III. pode ser comparado a um documento.ORG . (FCC – Câmara dos Deputados – Analista de Informática – 2007) Um certificado digital é: I – Um arquivo eletrônico que contém a identificação de uma pessoa ou instituição. 39. (FCC – INFRAERO – Analista de Sistemas – Rede e Suporte – 2011) Em relação à assinatura digital. ele confirma que foi aquele emitente e somente aquele emitente quem enviou a mensagem. c) A assinatura não pode ser forjada.CONCURSEIROSUNIDOS.

padrões técnicos e regulamentos. a assinatura também muda.ORG . gerenciar. Portanto. 40. armazenar. instanciar. e somente a chave privada do remetente pode realizar essa modificação. é de lógica! Diante de tantos verbos confusos. Ok. pessoas. a alternativa b) está errada. Porém. Prof. renovação ou revogação de seu certificado digital. validar perante a Polícia Federal. Para assegurar que uma determinada chave pertence a você é necessário que uma Autoridade Certificadora (AC) confira sua identidade e seus respectivos dados. descartei as letras b). A ICP-Brasil é um conjunto de entidades governamentais ou de iniciativa privada. (ESAF – Analista de Finanças e Controle – Infraestrutura de TI – 2012) Infraestrutura de Chave Pública é o conjunto de hardware. Logo. restaurar e publicar certificados digitais. Victor Dalton www. distribuir e revogar certificados digitais.estrategiaconcursos. armazenar. políticas e procedimentos necessários para a) instanciar.ok. sendo este órgão responsável pela autentificação das demais Autoridades Certificadoras. e necessitam de renovação). distribuir e apagar certificados digitais.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 A assinatura digital acompanha cada mensagem enviada pelo remetente. elaborados para suportar um sistema criptográfico com base em certificados digitais e visa assegurar as transações entre titulares de certificados digitais e detentores de chaves públicas.CONCURSEIROSUNIDOS. transmitir. restaurar e publicar certificados digitais. a questão não é de conteúdo. gerenciar. uma que eu tenho certeza é que ela revoga os certificados (mesmo porque eles possuem prazo de validade. mas eu vejo apenas uma questão de lógica. e) montar. além de ser obrigada a manter sempre disponível a Lista de Certificados Revogados (CRL). A ICP–Brasil é formada por uma Autoridade Certificadora Raiz (AC RAIZ) que é representada pelo Instituto Nacional de Tecnologia da Informação (ITI). d) criar. suspensão. além de executar atividades de fiscalização e auditoria das AC e Autoridades de Registro (AR) para que possa certificar-se de que a entidade está seguindo todas as Políticas de Certificação. sabemos o que é ICP-Brasil. b) montar. eu DUVIDO que você decore quais são os verbos das ações que a ICP realiza. eu faria esta questão da seguinte forma: Dentre as várias coisas que a ICP faz. Como falei antes.com. Pessoal. c) criar. Ela será a entidade responsável pela emissão. d) e e).software. publicar e revogar certificados digitais.br 82 de 137 WWW. armazenar. apagar. vocês podem estar vendo uma questão de conteúdo. Se o conteúdo muda.

2011) Consiste em uma chave pública mais um ID de usuário do proprietário da chave. “instanciar”. (FCC – TRT 24ª Região – Analista Judiciário – Tecnologia da Informação . “transmitir”. e) assinatura de chave pública e o proprietário referido corresponde a uma autoridade certificadora.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 A letra a) cita verbos como “apagar”. (E) IDEA. Resposta certa. Victor Dalton www. 42. 41.estrategiaconcursos. Quanto ao terceiro com credibilidade. (B) RSA. A definição é de a) assinatura digital e o terceiro referido corresponde ao signatário recebedor da mensagem.CONCURSEIROSUNIDOS. creio que não haja dúvidas de sua parte que estamos falando da autoridade certificadora. (C) RC4. b) criptografia assimétrica e o terceiro referido corresponde ao signatário recebedor da mensagem. O Analista deve escolher o (A) AES. Letra c). (FCC – TRT/1ª Região – Analista Judiciário – Tecnologia da Informação . Não estou certo? Sim. d) certificado de chave pública e o terceiro referido corresponde a uma autoridade certificadora. alternativa d). (D) DES.2014) Um Analista em Tecnologia da Informação do TRT da 1a Região deve escolher um algoritmo de criptografia assimétrica para os serviços de acesso à rede de computadores do Tribunal. enquanto a letra c) cita “gerenciar” e “distribuir”. Já a chave pública mais um ID de usuário do proprietário da chave trata-se do próprio certificado.br 83 de 137 WWW. Prof. verbos muito mais sensatos para referenciar órgãos governamentais. estou.com.ORG . c) criptografia simétrica e o proprietário referido corresponde a uma autoridade certificadora. com o bloco inteiro assinado por um terceiro que tenha credibilidade.

com. 43. alternativa a). (D) ineficiência do algoritmo de criptografia de chaves simétricas. A3 e A4. (FCC – TRT 16ª Região – Técnico Judiciário –Tecnologia da Informação – 2014) Os certificados usados para confirmação da identidade na web. S3 e S4. (FCC – TCE/RS – Auditor Público Externo – Técnico em Processamento de Dados – 2014) O sistema de Certificação Digital foi introduzido para aumentar a segurança da informação transmitida entre duas organizações. B2. a única forma de trocar chaves por ele é utilizar a criptografia assimétrica. O sistema de Certificação Digital.estrategiaconcursos.br 84 de 137 WWW. Esse sistema foi proposto em decorrência do problema de (A) distribuição de chaves simétricas. Victor Dalton www. (D) S1. além da Certificação Digital para assegurar a autenticidade dos remetentes.CONCURSEIROSUNIDOS. Resposta certa. SHA-256 e SHA-512.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 O único algoritmo de criptografia assimétrico apresentado é o RSA. surgiu em virtude da dificuldade de distribuição de chaves simétricas. transações online. B4 e B5. (B) ineficiência do algoritmo de criptografia de chaves assimétricas. S2. informações eletrônicas. redes privadas virtuais. Os demais são simétricos. 44. (C) simplicidade das chaves simétricas. B3. transações eletrônicas. garantindo os aspectos de confidencialidade. autenticidade e confiabilidade. que implementa a utilização de chaves públicas e privadas. Prof. Como o meio (Internet) é potencialmente inseguro. SHA-64. que implementa com segurança a utilização chaves assimétricas e assinatura digital no envio de mensagens. são os Certificados de Assinatura Digital (A) A1.ORG . SHA-128 e SHA-256. (B) SHA-0. A2. Alternativa b). cifração de chaves de sessão e assinatura de documentos com verificação da integridade de suas informações. (E) SHA-32. SHA-1. (C) B1. (E) quebra do sigilo de chaves assimétricas. correio eletrônico.

e) II e III. PDF ou PostScript. Victor Dalton www. o formato executável. de bases de dados. S2. c) I e III. A série A (A1. Os dez tipos são diferenciados pelo uso. Também certificados de assinatura digital. em redes privadas virtuais (VPN) e em documentos eletrônicos com verificação da integridade de suas informações. Prof. III e IV. d) II. Portanto.com. por sua vez. II. apenas.estrategiaconcursos. apenas. IV. Está correto o que se afirma em a) I. A3 e A4) reúne os certificados de assinatura digital.br 85 de 137 WWW. utilizados na confirmação de identidade na Web. pelo nível de segurança e pela validade. A2. Alternativa b). na elaboração de documentos. apenas. a alternativa a) é a nosso item correto. no caso de arquivos comprimidos. II. b) I. em e-mail. A série S (S1. Procurar não utilizar. São duas séries de certificados.CONCURSEIROSUNIDOS. II e III. que são utilizados na codificação de documentos. de mensagens e de outras informações eletrônicas sigilosas. apenas. (FCC – ISS/SP – Auditor-Fiscal Tributário Municipal I – Tecnologia da Informação – 2012) São algumas das medidas de prevenção contra a infecção ou proliferação de vírus: I. Desabilitar no programa leitor de e-mails a autoexecução de arquivos anexados às mensagens. Não executar ou abrir arquivos recebidos por e-mail ou por outras fontes antes de certificar-se de que esses arquivos foram verificados pelo programa antivírus.ORG . Procurar utilizar. certificados do tipo T3 e T4 somente podem ser emitidos para equipamentos das Autoridades de Carimbo do Tempo (ACTs) credenciadas na ICP-Brasil. formatos menos suscetíveis à propagação de vírus. III. S3 e S4). Tudo acima está correto. tais como RTF.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Na ICP-Brasil estão previstos dez tipos de certificado. 45. reúne os certificados de sigilo.

só podemos marcar a alternativa e). evitam gerar instâncias parecidas com a anterior. b) de macro. Já falamos sobre isso! Você se lembra? Um ataque de negação de serviço (DoS). Victor Dalton www.capazes de criar uma nova variante a cada execução. (FCC – Banco Central do Brasil – Analista Área 1 – 2006) Um código malicioso que se altera em tamanho e aparência cada vez que infecta um novo programa é um vírus do tipo a) de boot. c) parasita. Revendo os tipos de vírus: Vírus simples . Vírus Polimórficos . Vírus encriptado .capazes de mudar o próprio corpo.BNDES .br 86 de 137 WWW.CONCURSEIROSUNIDOS. Alvos típicos são Prof. Vírus de macro . c) XSS.só se replica é e fácil de ser detectado. Essa situação configura o ataque do tipo a) Replay. b) SQL Injection.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 46. Vírus Metamórficos .Analista de Suporte de Sistemas – 2010) Um conjunto de computadores está sendo utilizado para tirar de operação um serviço de determinado órgão público.esconde a assinatura fixa do vírus.vinculam suas macros a modelos de documentos e a outros arquivos. Dentre as alternativas.com. embaralhando o vírus.ORG .estrategiaconcursos. é uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. e) DDoS. d) Buffer Overflow. d) camuflado. 47. (Cesgranrio . e) polimórfico.

 Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma a não comunicarem-se adequadamente. o grande e repentino número de requisições de acesso esgota esse número de slot.com. mas sim da sua invalidação por sobrecarga.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 servidores web. O ataque consiste em fazer com que os Zumbis (máquinas infectadas e sob comando do Mestre) se preparem para acessar um determinado recurso em um determinado servidor em uma mesma hora de uma mesma data. são máquinas de usuários comuns que se deixaram infectar anteriormente por algum malware. Neste caso. Victor Dalton www. um computador mestre (denominado "Master") pode ter sob seu comando até milhares de computadores ("Zombies" . Como servidores web possuem um número limitado de usuários que pode atender simultaneamente ("slots"). Passada essa fase. na determinada hora. fazendo com que o servidor não seja capaz de atender a mais nenhum pedido. Os ataques de negação de serviço são feitos geralmente de duas formas:  Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como memória ou processamento por exemplo) de forma que ele não pode mais fornecer seu serviço. As máquinas “zumbis”. todos os zumbis (ligados e conectados à rede) acessarão ao mesmo recurso do mesmo servidor. Em um ataque distribuído de negação de serviço.ORG . as tarefas de ataque de negação de serviço são distribuídas a um "exército" de máquinas escravizadas.zumbis). como um bot.estrategiaconcursos.CONCURSEIROSUNIDOS. Prof. ou escravas.br 87 de 137 WWW. Destaco ainda que todo ataque de DDoS foi precedido de alguma outra forma de ataque. e o ataque tenta tornar as páginas hospedadas indisponíveis na rede. Não se trata de uma invasão do sistema.

furtar dados do computador infectado e enviar spam. como desferir ataques.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Sendo assim. sem o conhecimento do dono. d) A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer exclusivamente via redes do tipo P2P. propagação de códigos maliciosos. o invasor pode enviar instruções para que ações maliciosas sejam executadas. Neste contexto encontramse bots e botnets.estrategiaconcursos. Agora. Relembrando: Bot e Botnet: Bot é um programa que dispões de mecanismos com o invasor que permite que ele seja controlado remotamente. zumbis podem ser utilizados para realizar ataques DDos e para envio de spam. e) Algumas das ações maliciosas que costumam ser executadas por intermédio de botnets são: ataques de negação de serviço. b) Bot é um programa que dispõe de mecanismos de comunicação com o invasor e possui um processo de infecção e propagação igual ao do vírus. analisemos as alternativas: Prof. Victor Dalton www. Ao se comunicar. coleta de informações de um grande número de computadores.CONCURSEIROSUNIDOS.2012) Códigos maliciosos (malwares) são programas que objetivam executar ações danosas e atividades maliciosas em um computador.com. Também pode ser chamado de spam host. O computador infectado por um bot pode ser chamado de zumbi. tornar a rede indisponível disparando uma grande carga de dados direcionados ao servidor da rede. pois o bot instalado tem o objetivo de enviar infinitamente spams para a caixa de e-mail de quem é vítima do ataque. a resposta é a letra e). 48. pois pode ser controlado remotamente. ou seja. (FCC – MPE/AP – Técnico Ministerial – Informática . Propaga-se de maneira similar ao worm.ORG . não é capaz de se propagar automaticamente. c) Um computador infectado por um bot costuma ser chamado de attack base. Botnet é o nome dado a uma rede de Bots. Por exemplo. envio de spam e camuflagem da identidade do atacante. sobre os quais é correto afirmar: a) Botnet é um software malicioso de monitoramento de rede que tem a função de furtar dados que transitam pela rede e. normalmente. pois serve de base para o atacante estabelecer suas ações maliciosas.br 88 de 137 WWW.

c) Backdoors.estrategiaconcursos. Pode ser via canais de IRC. Errada. Uma máquina atacada por um bot é uma máquina zumbi. mas o bot pode se propagar automaticamente. b) Quase tudo certo.2012) Considere: Prof. semelhante a um worm.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 a) Quem furta dados que trafegam por uma rede são os sniffers. (FCC – TRT/6ª Região – Técnico Judiciário – Tecnologia da Informação . e) Worm. 49. b) Keyloggers. e) Correta. espionando o usuário: spyware. d) Spyware. Uma máquina zumbi pode ser utilizada para diversos fins.CONCURSEIROSUNIDOS.com. Capturando informações e ações do usuário. logo. como os exemplificados. servidores Web. c) Errado.ORG . d) Não há exclusividade para redes P2P. Keyloggers são um subtipo de spyware. e não para si mesmo. (FCC – TST – Analista Judiciário – Tecnologia da Informação . P2P. e quem indisponibiliza uma rede são os ataques DoS ou DDoS. Victor Dalton www. a alternativa d) é a mais abrangente.br 89 de 137 WWW. 50. entre outros. seu objetivo é mandar spams para outros. e caso ela venha a ser um spam host.2012) Vírus de computador e outros programas maliciosos (Malwares) agem de diferentes formas para infectar e provocar danos em computadores. ou seja. O Malware que age no computador capturando as ações e as informações do usuário é denominado a) Cavalo de Troia.

b) Caso seja fornecida a senha. e) A Apple certamente irá à falência depois de uma notícia como esta. Prof.CONCURSEIROSUNIDOS. d) Dificilmente uma empresa. ou de imagens. e) uma arquivo .doc que infecta o sistema ao ser aberto no editor. Arquivos de música.com.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Em relação a malwares e com base na notícia apresentada. EXCETO a) um arquivo . como jpg. c) uma extensão do navegador que infecta o sistema ao ser executada.mp3 que infecta o sistema ao ser tocado. não contêm vírus. Alternativa a). programas executáveis ou documentos. pois o Flashback irá destruir o disco rígido. não? Alternativa c). é correto afirmar: a) Trata-se de uma notícia alarmista e falsa. Plugins de navegador. como mp3.br 90 de 137 WWW.estrategiaconcursos. png. esses sim estão sujeitos a malware.xls que infecta o sistema ao ser aberto. b) um arquivo .ORG . pois os computadores Mac são imunes a este tipo de ataque. o usuário perderá sua máquina. Software assim pode ganhar acesso a um computador através dos seguintes meios.2012) O termo malware é uma denominação genérica para designar software projetado para causar danos a quem o executa. 51. d) um programa executável que infecta o sistema ao ser executado. conseguirá oferecer soluções de desinfecção para máquinas Mac. Questão mais de bom senso do que de conhecimento. mesmo especializada. c) Certamente empresas especializadas podem oferecer soluções para desinfectar as máquinas Mac. (FCC – TRT/6ª Região – Técnico Judiciário – Tecnologia da Informação . Victor Dalton www.

2012) Sobre Cavalo de Tróia. pois seu único objetivo não é obter o controle sobre o computador. a alternativa e) é a única correta. causam a perda ou até mesmo o roubo de dados.br 91 de 137 WWW. não é possível distinguir as ações realizadas como consequência da execução do Cavalo de Tróia propriamente dito. Esse é um dos tipos mais importantes! Cavalo de Tróia: programas impostores. mas sim replicar arquivos de propaganda por e-mail.estrategiaconcursos. Portanto.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 52.CONCURSEIROSUNIDOS. (FCC – MPE/PE – Analista Ministerial – Informática .com. b) Contém um vírus. é correto afirmar: a) Consiste em um conjunto de arquivos . c) Não é necessário que o Cavalo de Tróia seja executado para que ele se instale em um computador. Cavalos de Tróia vem anexados a arquivos executáveis enviados por e-mail. Não se replicam. arquivos que se passam por um programa desejável. nem propagar cópias de si mesmo automaticamente. mas que.ORG . por isso. Contêm códigos maliciosos que. pois executam mais funções além daquelas que aparentemente ele foi projetado.bat que não necessitam ser explicitamente executados. 53. quando ativados. e) Distingue-se de um vírus ou de um worm por não infectar outros arquivos. c) spyware d) worms e) hoaxes Prof. d) Não instala programas no computador. (FUNCAB – MPE/RO – Analista – Suporte de Informática 2012) Os programas keyloggers e screenloggers são considerados programas do tipo: a) adware b) cavalo de troia. na verdade. Victor Dalton www. daquelas relacionadas ao comportamento de um vírus. são prejudiciais.

CONCURSEIROSUNIDOS. c) adware e spyware. como a) Trojan e worm. considere: I. Especificamente projetado para apresentar propagandas. 55.ORG . (FCC – TRT/14ª Região – Analista Judiciário – Tecnologia da Informação . d) spyware e trojan. afetar o desempenho do computador e interferir na capacidade de detecção um do outro. II. respectivamente. Alternativa c). Monitorar atividades de um sistema e enviar as informações coletadas para terceiros.com. Devem ser configuradas para verificar apenas arquivos executáveis. Falou em propaganda.br. e) phishing e spam.estrategiaconcursos. De acordo com cgi.br 92 de 137 WWW. I e II são tipos de software categorizados.2011) Analise as seguintes características de software: I. Falou em espionar pensou spyware. Victor Dalton www. pois são os únicos que podem conter vírus e outros tipos de malware. Alternativa c). pois eles podem entrar em conflito. Prof. b) adware e worm. Simples assim. pensou adware (ad – advertising). Deve-se evitar executar simultaneamente diferentes programas antimalware. 54. (FCC – MPE/AM – Agente de Apoio – Manutenção e Suporte de Informática .2013) Com relação à utilização correta de ferramentas antimalware. quer por intermédio de um browser quer por meio de algum outro programa instalado.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Spyware. É aconselhável utilizar programas antimalware on-line quando se suspeitar que o antimalware local esteja desabilitado ou comprometido ou quando se necessitar de uma segunda verificação. II. III.

entrando em atividade apenas em datas específicas. documentos. Opa! Diversas extensões.exe.com. Quando entra em ação. II e III. b) III e IV. Está correto o que se afirma APENAS em a) I. Correto. efetuar ligações telefônicas e drenar a carga da bateria. Victor Dalton www. complementos e extensões para navegadores wen. infectando arquivos do disco e executando uma série de atividades sem o conhecimento do usuário. a) Propaga-se de celular para celular por meio de bluetooth ou de mensagens MMS.br recomenda que o antimalware deve verificar TODA E QUALQUER extensão de arquivo. Alguns procuram permanecer ocultos. infecta arquivos e programas e envia cópias de si mesmo para os e-mails encontrados nas listas de contatos gravadas no computador. Após infectar o celular.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 IV. Também é cópia da cartilha.br 93 de 137 WWW. IV. d) II e IV. A Cert. e cópia da cartilha da Cert. e) I.. pois os programas on-line além de serem mais eficientes. além do . Precisa comentar? Errada! Portanto.br.CONCURSEIROSUNIDOS. pode destruir ou sobrescrever arquivos.. enfim.estrategiaconcursos.ORG .2013) Há diferentes tipos de vírus. c) I e III. A infecção ocorre quando um usuário permite o recebimento de um arquivo infectado e o executa. Não é recomendável ter um antimalware instalado no computador.. Há outros que permanecem inativos durante certos períodos. Perfeitamente razoável. Alguns dos tipos de vírus mais comuns são apresentados nas afirmativas abaixo. (FCC – MPE/CE – Analista Ministerial – Ciências da Computação . são suficientes para proteger o computador. podem conter malwares. 56. Correto. b) Recebido como um arquivo anexo a um e-mail. Analisemos as assertivas: I. como plug-ins. nossa resposta correta é a alternativa c). II. remover ou transmitir contatos da agenda. Assinale o que NÃO se trata de um vírus. que tenta induzir o usuário a clicar sobre este arquivo para que seja executado. Prof. Errada! III.

e) Worm! Achamos quem não é vírus. dependendo da configuração do browser e do leitor de e-mails do usuário. Pode ser automaticamente executado. c) Vírus de script. Ao fazer isto. Interessante chamar a atenção para essa questão. recebido ao acessar uma página web ou por e-mail. semelhante ao site que realmente deseja acessar. no qual são solicitados os dados pessoais e financeiros da pessoa. d) Escrito em linguagem de macro e tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem como. d) Vírus de macro. até o enunciado a FCC copiou da cartilha da Cert. necessita identificar os computadores alvos para os quais tentará se copiar. Consiste em alterar campos do cabeçalho de um e-mail. Para esta questão. na verdade. b) Vírus propagado por email. em nome de um site de comércio eletrônico ou de uma instituição financeira.CONCURSEIROSUNIDOS. e) Após infectar um computador. Vejamos as alternativas: a) É o chamado vírus de telefone celular. Pode ser realizado por diversos meios. tenta se propagar e continuar o processo de infecção. segundo a cartilha. é direcionada para uma página web falsa. 3. o que pode ser feito efetuando uma varredura na rede e identificando os computadores ativos.br 94 de 137 WWW.br. como pela geração de grande tráfego de dados para uma rede.com. 57. os que compõem o Microsoft Office. que tenta induzi-la a clicar em um link. de forma a aparentar que ele foi enviado de uma determinada origem quando.estrategiaconcursos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 c) Escrito em linguagem de script. (FCC – MPE/CE – Analista Ministerial – Ciências da Computação . pois ela mostra uma outra forma de classificar os tipos de vírus. Para isso. Uma pessoa recebe um e-mail. 2.ORG . Victor Dalton www. visando diferentes alvos e usando variadas técnicas. por exemplo. ocupando toda a banda disponível e tornando indisponível qualquer acesso a computadores ou serviços desta rede.2013) Ataques costumam ocorrer na Internet com diversos objetivos. Prof. como um arquivo anexo ou parte do próprio e-mail escrito em HTML. Analise os exemplos e descrições abaixo. 1.

nossa alternativa correta é a letra b). c) As mídias de cópias de segurança devem ser testadas regularmente para garantir que sejam suficientemente confiáveis para uso de emergência. 2. Portanto. quando necessário. ou spoofing.br 95 de 137 WWW. ou DoS.estrategiaconcursos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 foi enviado de outra. É a “pescaria” (de leigos). e respectivamente. É o disfarce do remetente. Prof.CONCURSEIROSUNIDOS. (FCC – ISS/SP – Auditor-Fiscal Tributário Municipal I – Tecnologia da Informação – 2012) NÃO é um item a ser considerado para a geração das cópias de segurança: a) A produção de registros completos e exatos das cópias de segurança e de documentação apropriada sobre os procedimentos de restauração da informação é indispensável. Esta técnica é possível devido a características do protocolo SMTP que permitem que campos do cabeçalho sejam falsificados.ORG . A associação entre a descrição e o tipo de ataque é expressa correta.com. 3. de forma a garantir que estes são efetivos e que podem ser concluídos dentro dos prazos definidos nos procedimentos operacionais de recuperação. Victor Dalton www. 58. ou phishing. em a) 1-flood 2-rootkit 3-spyware b) 1-DoS 2-phishing 3-spoofing c) 1-DoS 2-adware 3-rootkit d) 1-adware 2-DoS 3-spyware e) 1-spyware 2-rootkit 3-DoS Analisemos as assertivas: 1. b) Os procedimentos de recuperação devem ser verificados e testados regularmente. É o ataque de negação de serviço.

d) Somente as afirmativas I. Victor Dalton www. como a utilização de números primos extensos. III. a “velha” pegadinha de armazenar cópias próximo dos originais. a) Somente as afirmativas I e II são corretas. no qual a chave pública do destinatário é utilizada para a criptografia da informação. tudo certo com as alternativas de a) a d). Prof. E. Errado! 59. na condição de algoritmo de chave assimétrica. A dificuldade no ataque ao RSA consiste em encontrar os fatores primos de um número composto. Requer o emprego de algoritmos complexos.com. na alternativa e). Mais uma vez. (UEL – SEFAZ/PR – Auditor Fiscal – 2012) Sobre o algoritmo de criptografia RSA.ORG . c) Somente as afirmativas III e IV são corretas.estrategiaconcursos. e) Somente as afirmativas II. É computacionalmente inviável gerar um par de chaves.CONCURSEIROSUNIDOS. É baseado em criptografia simétrica. e apenas a chave privada consegue realizar a decifragem. Pode ser utilizado para autenticação do emissor e do receptor. trabalha com chaves distintas para a cifragem e decifragem. b) Somente as afirmativas I e IV são corretas. Normalmente utilizam o conceito de chave pública e chave privada. O RSA. e) As cópias de segurança devem ser armazenadas no local onde os dados foram processados para facilitar um rápido processo de restauração em caso de desastre. completa ou diferencial) e a frequência da geração das cópias de segurança devem refletir os requisitos de negócio da organização. III e IV são corretas. Assinale a alternativa correta. considere as afirmativas a seguir.br 96 de 137 WWW. II e III são corretas. I.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 d) A extensão (por exemplo. IV. II.

Assim. o navegador Internet Explorer utilizado por Luis apresenta uma página inicial diferente da configurada por ele. (D) Bootnet. quando a entidade emissora quer enviar uma mensagem assinada digitalmente a outra entidade.br 97 de 137 WWW. Prof. Portanto. Por trabalhar com os conceitos de chave pública e chave privada. alternativa a). (B) Rootkit. (E) Keylogger. Resposta certa. o RSA pode ser utilizado para autenticação do emissor e do receptor. aquela terá que cifrar a mensagem com a sua chave privada e de seguida cifrar o resultado com a chave pública da entidade receptora. apenas os itens I e IV são corretos. (C) Worm. A partir dessas informações. Victor Dalton www. Alternativa b). a entidade receptora ao receber a mensagem terá que decifrá-la primeiro com a sua chave privada e de seguida decifrar este resultado com a chave pública da entidade emissora. pode-se concluir que o tipo de malware que atacou o computador do Luis é (A) Hijacker. o RSA requer algoritmos complexos para o seu devido emprego. 60. Entretanto.CONCURSEIROSUNIDOS.ORG .com. muitas vezes. (FCC – TRT 16ª Região – Analista Judiciário – Tecnologia da Informação – 2014) Após a instalação de um programa obtido na internet. o que gera lucro para o criador do hijacker.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 A chave assimétrica teoricamente é segura.estrategiaconcursos. também abrem pop-ups indesejados. pois é computacionalmente inviável encontrar os fatores primos de um número composto muito grande. além de exibir pop-up indesejável. não é difícil imaginar que performance seja um gargalo neste sistema. Por sua vez. logo. Hijacker é uma variação de Cavalo de Tróia que modifica a página inicial do navegador e. O objetivo é vender os cliques que o usuário faz nessas páginas.

geralmente os atacantes alteram a página principal do site. páginas internas também podem ser alteradas. O objetivo é exaurir recursos e causar indisponibilidades ao alvo. Apesar deste ataque poder ser realizado manualmente.com. é realizado com o uso de ferramentas automatizadas que permitem tornar o ataque bem mais efetivo. e aos programas instalados nos computadores ativos detectados. executar processos e acessar sites. ao se conectar um computador à rede ele pode estar sujeito a diversos tipos de ataques. todas as pessoas que dependem dos recursos afetados são prejudicadas. Para ganhar mais visibilidade. um nome de usuário e senha e. assim. Com base nas informações coletadas é possível associar possíveis vulnerabilidades aos serviços disponibilizados. Vamos reescrever as alternativas corretamente? (A) Um ataque de força bruta consiste em adivinhar.estrategiaconcursos. Para ganhar mais visibilidade. Apesar deste ataque poder ser realizado manualmente. (B) Desfiguração ou defacement é uma técnica que consiste em alterar o conteúdo da página web de um site. pois ficam impossibilitadas de acessar ou realizar as operações desejadas. por tentativa e erro. com o objetivo de identificar computadores ativos e coletar informações. BR.ORG . um nome de usuário e senha e.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 61. De acordo com a cartilha CERT.CONCURSEIROSUNIDOS. é realizado com o uso de ferramentas automatizadas que permitem tornar o ataque bem mais efetivo. (B) Varredura em redes é uma técnica que consiste em alterar o conteúdo da página web de um site. porém. computadores e serviços com o nome e com os mesmos privilégios deste usuário. executar processos e acessar sites. Quando isto ocorre. (E) Ataque de negação de serviço é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço. Victor Dalton www.br 98 de 137 WWW. (FCC – TRT 2ª Região – Analista Judiciário – Tecnologia da Informação – 2014) Independentemente do tipo de tecnologia usada. por tentativa e erro. na grande maioria dos casos. por meio do uso de programas específicos chamados de sniffers. está correto o que se afirma em: (A) Interceptação de tráfego consiste em adivinhar. assim. (C) Um ataque de força bruta é uma técnica que consiste em efetuar buscas minuciosas em redes. na grande maioria dos casos. um computador ou uma rede conectada à Internet. chamar mais atenção e atingir maior número de visitantes. computadores e serviços com o nome e com os mesmos privilégios deste usuário. chamar Prof. (D) Desfiguração ou defacement é uma técnica que consiste em inspecionar os dados trafegados em redes de computadores.

Com base nas informações coletadas é possível associar possíveis vulnerabilidades aos serviços disponibilizados. IV. sejam elas por meio de envio de mensagens ou navegação na Internet através de browser. um computador ou uma rede conectada à Internet. páginas internas também podem ser alteradas. porém. no momento da solicitação de sua instalação. por meio do uso de programas específicos chamados de sniffers. Victor Dalton www.CONCURSEIROSUNIDOS. V. as quais são utilizadas por um software aplicativo ou utilitário do computador do usuário.estrategiaconcursos. II. Protegem contra códigos maliciosos embutidos em macros. Quando isto ocorre. e aos programas instalados nos computadores ativos detectados. O objetivo é exaurir recursos e causar indisponibilidades ao alvo.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 mais atenção e atingir maior número de visitantes.ORG . pois ficam impossibilitadas de acessar ou realizar as operações desejadas. Prof.com. (D) Interceptação de tráfego é uma técnica que consiste em inspecionar os dados trafegados em redes de computadores. Resposta certa. todas as pessoas que dependem dos recursos afetados são prejudicadas. 62. III. geralmente os atacantes alteram a página principal do site. (E) Ataque de negação de serviço é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço. (B) II e III. com o objetivo de identificar computadores ativos e coletar informações.br 99 de 137 WWW. (C) Varredura em redes é uma técnica que consiste em efetuar buscas minuciosas em redes. Previnem a instalação de aplicativos infectados. alternativa e). Está correto o que se afirma APENAS em (A) I e II. Criptografam comunicações em rede. Protegem contra phishing de páginas web quando o usuário está em navegação utilizando livremente o browser. Protegem contra trojan embarcado em uma aplicação quando o usuário aceita a sua instalação em sua máquina. (FCC – ALEPE – Analista Legislativo – Infraestrutura – 2014) Os programas antivírus: I. ao gerarem um alerta sobre conteúdo suspeito ou ao bloquearem a operação de instalação.

(E) II e V.ORG . Criptografar comunicações em rede. como o HTTPS. Proteger contra phishing de páginas web quando o usuário está em navegação utilizando livremente o browser. Antivírus são ferramentas muito úteis para proteger os computadores. Na hierarquia dos Serviços de Certificação Pública. Victor Dalton www.estrategiaconcursos. Resposta certa.uma vez que o usuário autorize a instalação de um aplicativo. É a entidade subordinada à hierarquia da ICP-Brasil.com. III. II. ele não pode: I. renovar. Cabe também a esta entidade emitir listas de certificados revogados (LCR) e manter registros de suas operações sempre obedecendo às práticas definidas na Declaração de Práticas de Certificação (DPC). pois ele não pode indicar para o usuário se um determinado site é verdadeiro. Isso será feito por meio de algum protocolo comum a remetente e destinatário. distribuir. Desempenha como função essencial a responsabilidade de verificar se o titular do certificado possui a chave privada que corresponde à chave pública que faz parte do certificado. (D) IV e V. por exemplo.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 (C) III e IV. O texto refere-se à Autoridade (A) Certificadora Raiz (AC Raiz). ou se é um golpe. esta entidade está subordinada às entidades de nível hierarquicamente superior. responsável por emitir. sejam elas por meio de envio de mensagens ou navegação na Internet através de browser – o antivírus não realiza criptografia para o envio de mensagens pela rede. se ele possuir um trojan embarcado. Prof. que possui um par único de chaves (pública/privada). 63. (FCC – TRT 16ª Região – Técnico Judiciário –Tecnologia da Informação – 2014) Considere o texto abaixo.CONCURSEIROSUNIDOS.br 100 de 137 WWW. Entretanto. o antivírus entenderá que o usuário permitiu tal comportamento. Proteger contra trojan embarcado em uma aplicação quando o usuário aceita a sua instalação em sua máquina . alternativa d). revogar e gerenciar certificados digitais. onde o certificado emitido representa a declaração da identidade do titular. Cria e assina digitalmente o certificado do assinante.

Ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. as políticas de segurança necessárias para garantir a autenticidade da identificação realizada. que possui um par único de chaves (pública/privada). a enviar uma requisição HTTP forjada. incluindo o cookie da sessão da vítima e qualquer outra informação de autenticação incluída na sessão. (FCC – TRF 3ª Região – Técnico Judiciário –Informática – 2014) Considere as seguintes descrições dos ataques que podem ser realizados por meio da internet: I. Os dados manipulados pelo atacante podem iludir o interpretador para que este execute comandos indesejados ou permita o acesso a dados não autorizados.ORG . responsável por emitir.com. (C) de Registro (AR). pelas Autoridades Registradoras (ARs) a ela vinculadas. Tem a responsabilidade de verificar se o titular do certificado possui a chave privada que corresponde à chave pública que faz parte do certificado. II.br 101 de 137 WWW. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário. As descrições I. renovar. Cria e assina digitalmente o certificado do assinante. desfigurar sites ou redirecionar o usuário para sites maliciosos. II e III correspondem. alternativa e). a uma aplicação web vulnerável. onde o certificado emitido pela AC representa a declaração da identidade do titular. Portanto. Força a vítima.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 (B) Gestora de Políticas da ICP-Brasil. pública ou privada. subordinada à hierarquia da ICP-Brasil. respectivamente. distribuir. Cabe também à AC emitir listas de certificados revogados (LCR) e manter registros de suas operações sempre obedecendo às práticas definidas na Declaração de Práticas de Certificação (DPC). Além de estabelecer e fazer cumprir.estrategiaconcursos. 64. Uma Autoridade Certificadora (AC) é uma entidade. revogar e gerenciar certificados digitais. Victor Dalton www. Esta falha permite ao atacante forçar o navegador da vítima a criar requisições que a aplicação vulnerável aceite como requisições legítimas realizadas pela vítima. (D) de Validação de Chaves (AVC). III. que possui uma sessão ativa em um navegador. a ataques Prof. Ocorrem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta SQL.CONCURSEIROSUNIDOS. (E) Certificadora (AC).

Prof. de Injeção e Cross-Site Request Forgery. Scripting e Quebra de Autenticação e (B) de Redirecionamentos e encaminhamentos inválidos. III.br 102 de 137 WWW. (C) Cross-Site Scripting. responsável por emitir. autorizada pelo governo a realizar operações financeiras e/ou fiscais. incluindo o cookie da sessão da vítima e qualquer outra informação de autenticação incluída na sessão. Cross-Site Scripting e Cross-Site Request Forgery. revogar e gerenciar certificados digitais. é chamada de Autoridade Certificadora. de Exposição de Dados Sensíveis e Cross-Site Request Forgery. Força a vítima. (D) de Injeção.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 (A) de Injeção. desfigurar sites ou redirecionar o usuário para sites maliciosos – XSS. a enviar uma requisição HTTP forjada. distribuir. Resposta certa. (E) Cross-Site Scripting. Victor Dalton www. (B) a entidade subordinada à hierarquia da ICP-Brasil. que possui uma sessão ativa em um navegador. Ocorrem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta SQL. alternativa d). II. (FCC – SEFAZ/PE – Auditor Fiscal – 2014) A certificação digital é uma forma de demonstrar e certificar a identidade do titular da assinatura digital. renovar. Ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados.com. Os dados manipulados pelo atacante podem iludir o interpretador para que este execute comandos indesejados ou permita o acesso a dados não autorizados – SQL Injection. Cross-Site Request Forgery e de Injeção.CONCURSEIROSUNIDOS.ORG . Esta falha permite ao atacante forçar o navegador da vítima a criar requisições que a aplicação vulnerável aceite como requisições legítimas realizadas pela vítima – Cross-Site Request Forgery. 65. Cross-Site Gerenciamento de Sessão. I. a uma aplicação web vulnerável. É correto afirmar que (A) o certificado digital pode ser obtido junto a qualquer instituição pública estadual ou federal. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário. ou Cross-Site Scripting.estrategiaconcursos.

(B) B e D. em Redes Privadas Virtuais (VPNs) e em documentos eletrônicos com verificação da integridade das informações. utilizados na confirmação de identidade na web.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 (C) assinatura digital é a operação de criptografar um documento com o uso de uma chave criptográfica pública. (E) B e C. 66. em e-mail.ORG . renovar.estrategiaconcursos. As séries de certificados I e II são categorizadas. Reúne os certificados de sigilo. Victor Dalton www. que atribui ao documento integridade e disponibilidade. Na ICP-Brasil estão previstos dez tipos de certificado.br 103 de 137 WWW. revogar e gerenciar certificados digitais. utilizados na confirmação de identidade na Web. em e-mails. A2. A Autoridade Certificadora é aquela responsável por emitir. (D) A e S. alternativa b). (C) A e F. que são utilizados na codificação de documentos. São duas séries de certificados. A3 e A4) reúne os certificados de assinatura digital.CONCURSEIROSUNIDOS. (FCC – SEFAZ/PE – Auditor Fiscal – 2014) Reúne os certificados de assinatura digital. II. de mensagens e de outras informações eletrônicas sigilosas. em Prof. As demais sentenças são fictícias. respectivamente. (D) a assinatura digital é uma senha do contribuinte que permite a identificação do autor de um documento submetido à Secretaria da Fazenda. Resposta certa. (E) o contabilista de uma empresa deve ficar com o certificado digital do contribuinte para assinar documentos por ele na sua ausência e/ou em caso de urgência. A série A (A1.com. de bases de dados. de (A) A e B.

por sua vez. Portanto. alternativa a). pelo nível de segurança e pela validade. independentemente do tamanho da mensagem. que são utilizados na codificação de documentos. S3 e S4). (C) hoax. 67.ORG . S2.br 104 de 137 WWW. obtendo como resultado o chamado message-digest(resumo). da mensagem. a alternativa d) é a nosso item correto. de mensagens e de outras informações eletrônicas sigilosas.estrategiaconcursos. quando aplicado sobre uma informação. reúne os certificados de sigilo. arbitrariamente longa. Os dez tipos são diferenciados pelo uso.CONCURSEIROSUNIDOS. (D) compact brief. A série S (S1. (FCC – SEFAZ/PE – Auditor Fiscal – 2014) O método criptográfico normalmente utilizado para gerar assinaturas digitais que.com. Victor Dalton www. Resposta certa. Prof. (B) patch. Assinatura digital baseada em funções de hash Este esquema baseia-se nas funções de sentido único (one-way hash functions) e tem como base a cifragem de uma parte. independentemente do tamanho que ela tenha. Esse resumo possui tamanho fixo. gera um resultado único e de tamanho fixo é chamado de (A) hash. (E) abstract key. de bases de dados.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 redes privadas virtuais (VPN) e em documentos eletrônicos com verificação da integridade de suas informações.

certificado digital. nenhum aplicativo que você não conheça.ORG . repare no cadeado ao lado do “https”. e descobre que a utilizamos com bastante frequência.br/livro/cartilha-seguranca-internet. do Centro de Estudos.com..br 105 de 137 WWW.CONCURSEIROSUNIDOS. concorda comigo? A gente começa a ver criptografia como quem não quer nada. que incomodam (e muito) nossa caixa de emails? Tentativas diárias de phishing. tudo no nosso dia a dia. nessa lista. assinatura digital..pdf Boa prova! Victor Dalton Prof.estrategiaconcursos.. ou não sabe para que serve? Pode ser um Cavalo de Tróia! Ainda. E os spams.. e as bancas também costumam extrair suas questões de prova dela.br). Victor Dalton www. Temos ali criptografia assimétrica. Grande parte da nossa aula de hoje veio daqui. quem não passa por isso? Tem algum worm no seu computador? Já deu uma olhada na lista de aplicativos instalada em seu PC? Não existe. fazemos uma compra online.cert.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 CONSIDERAÇÕES FINAIS E finalmente encerramos! E então. Quando acessamos o homebanking. Respostas e Tratamento de Incidentes de Segurança do Brasil (Cert. http://cartilha. deixo a dica abaixo para a Cartilha de Segurança para Internet.

I e II são. (D) não pode ser repudiada e é autêntica. Isto equivale a afirmar.CONCURSEIROSUNIDOS. (B) A2 e A3.com. II.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 LISTA DE EXERCÍCIOS 1. (E) não pode ser repudiada e é confidencial. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) Na Secretaria da Fazenda do Estado do Piauí a assinatura digital permite comprovar que uma informação foi realmente gerada por quem diz tê-la gerado e que ela não foi alterada. devendo ser do tipo …I… ou …II… e conter o CNPJ de um dos estabelecimentos da empresa. (A) S1 e S2. As características dos certificados digitais I e II são descritas a seguir: I.estrategiaconcursos. Prof. A chave privada é armazenada no disco rígido do computador. respectivamente. que possui um chip com capacidade de realizar a assinatura digital.ORG . Victor Dalton www. A chave privada é armazenada em dispositivo portátil inviolável do tipo smart card ou token.br 106 de 137 WWW. respectivamente. 2. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) O certificado digital utilizado na Nota Fiscal Eletrônica (NF-e) deverá ser adquirido junto à Autoridade Certificadora credenciada pela Infraestrutura de Chaves Públicas Brasileira − ICP-Brasil. que também é utilizado para realizar a assinatura digital. (B) é autêntica e confidencial. que é possível comprovar que uma informação (A) é privada e está sempre disponível. (C) é autêntica e está íntegra.

ORG . (E) A1 e A3. O uso de certificado digital de pessoa física emitido por Autoridade Certificadora credenciada à ICP/BR. (D) A2 e A4. (B) a chave pública de Antônio.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 (C) S1 e S3. Cada um conhece apenas sua própria chave privada. ele terá que usar sua chave privada. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) s arquivos digitais no padrão definido em norma e do aplicativo GeraTEDeNF. ele terá que usar a chave pública.br 107 de 137 WWW. ele terá que usar a chave privada. que contenha o CPF do titular será permitido desde que a SEFAZ-PI seja comunicada previamente através da apresentação do Termo de Outorga de Poderes para Assinatura e Transmissão de Arquivos Digitais firmada pelo representante legal da empresa.com consta o seguinte texto adaptado: Prof. ele terá que usar a chave privada. ele terá que usar sua chave pública. João envia uma mensagem criptografada para Antônio. relacionada à chave privada usada no processo por João.CONCURSEIROSUNIDOS. João usa (A) a chave privada de Antônio. Para Antônio decodificar a mensagem que recebeu de João. utilizando criptografia assimétrica. Para Antônio decodificar a mensagem que recebeu de João. Victor Dalton www. 4. (C) a chave pública de Antônio. Para Antônio decodificar a mensagem que recebeu de João. Ambos conhecem a chave privada.estrategiaconcursos. emitido por Autoridade Certificadora credenciada à ICP/BR que contenha o CNPJ da empresa. Somente Antônio conhece a chave privada. Para codificar o texto da mensagem. relacionada à chave pública usada no processo por João. em um padrão específico. (E) sua chave privada. relacionada à chave pública usada no processo por João. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) Em determinada instituição. No site http://nf-eletronica. (D) a chave privada de Antônio. Somente João conhece a chave privada. Ambos conhecem a chave privada. Para Antônio decodificar a mensagem que recebeu de João. 3. Para Antônio decodificar a mensagem que recebeu de João.com. a empresa deverá possuir um certificado digital.

utilizar listas. Victor Dalton www. c. como parte da exploração de vulnerabilidades existentes em programas instalados no computador alvo. (D) X509.v3. Após infectar um computador. necessita identificar os computadores alvos para os quais tentará se copiar. b. ele tenta se propagar e continuar o processo de infecção. Após identificar os alvos.ORG . via programas de troca de mensagens instantâneas.br 108 de 137 WWW. predefinidas ou obtidas na Internet. (E) SPDK/SDSI. utilizar informações contidas no computador infectado. (FCC – SEFAZ/PI – Auditor Fiscal – 2015) Considere o seguinte processo de propagação e infecção de um tipo de malware. Trata-se do padrão (A) X509. (C) PGP. ele efetua cópias de si mesmo e tenta enviá-las para estes computadores. anexadas a e-mails.estrategiaconcursos. Para isto. de tal maneira que se possa amarrar firmemente um nome a uma chave pública. b. incluídas em pastas compartilhadas em redes locais ou do tipo P2P (Peer to Peer). Prof. o que pode ser feito de uma ou mais das seguintes maneiras: a. efetuar varredura na rede e identificar computadores ativos.com. o formato dos certificados digitais. aguardar que outros computadores contatem o computador infectado. entre várias outras coisas.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 O Projeto Nota Fiscal Eletrônica (NF-e) exige o uso de Certificado Digital em um padrão específico. contendo a d.v6. 5. identificação dos alvos. por uma ou mais das seguintes formas: a. permitindo autenticação forte.CONCURSEIROSUNIDOS. emitido por Autoridade Certificadora credenciada à ICP/BR. como arquivos de configuração e listas de endereços de e-mail. d. c. (B) SET. Um padrão específico de certificado digital usado na ICP Brasil (ICP/BR) é citado em ambos os textos e especifica.

(B) alterar as configurações de um servidor de e-mail para que dispare uma infinidade de e-mails falsos até encher a caixa de correio de um ou muitos usuários. de forma a aparentar que ele foi enviado de uma determinada origem quando. imediatamente após ter sido transmitido. Victor Dalton www. foi enviado de outra. diretamente pelo usuário. (B) backdoor. a partir deste momento. ele necessita ser executado para que a infecção ocorra. o computador que antes era o alvo passa a ser também originador dos ataques. (D) alterar os campos do cabeçalho de um e-mail. o que pode acontecer de uma ou mais das seguintes maneiras: a. c.estrategiaconcursos. a inserção de uma mídia removível. Trata-se do processo de propagação e infecção por (A) vírus. o processo de propagação e infecção recomeça. a qual ele está condicionado como.ORG . (FCC – TCM/GO – Auditor de Controle Externo .com. Esta técnica consiste em (A) alterar os campos do protocolo SMTP. (D) spyware. envio de spam e golpes de phishing. por exemplo. pela realização de uma ação específica do usuário. b. (E) worm. sendo que. pela execução de uma das cópias enviadas ao seu computador. na verdade.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Após realizado o envio da cópia. Prof.br 109 de 137 WWW. (C) falsificar o protocolo SMTP para inspecionar os dados trafegados na caixa de e-mail do usuário. Após o alvo ser infectado. pela exploração de vulnerabilidades em programas sendo executados no computador alvo no momento do recebimento da cópia.CONCURSEIROSUNIDOS. de forma que os e-mails do usuário sejam direcionados para outra conta sem que ele saiba. por meio do uso de programas específicos. (C) trojan.Informática – 2015) E-mail spoofing é uma técnica que pode ser utilizada para propagação de códigos maliciosos. 6.

(C) cada usuário do sistema de banco de dados possui apenas duas chaves privadas e nenhuma chave pública. 8. 7. armazenados e processados (A) na nuvem.com.estrategiaconcursos. cifrado por software. (FCC – TCM/GO – Auditor de Controle Externo .CONCURSEIROSUNIDOS. (FCC – CNMP – Analista – Suporte e Infraestrutura – 2015) Em segurança da informação. ou as pessoas autorizadas. em que um dos mecanismos utilizados consiste na criptografia de chave pública. que apresenta a característica de que (A) um usuário U3 que tenha recebido dados criptografados de um usuário U4 deve conhecer a chave privada de U4 para decodificar os dados. (D) em repositório protegido por senha. (B) cada usuário do sistema de banco de dados possui uma chave pública e uma chave privada. Neste tipo de certificado os dados são gerados. possam ler a Prof.ORG . DVD ou pen drive criptografado. uma chave criptográfica para transformar a informação original para que apenas o interlocutor. Victor Dalton www. a criptografia é a técnica que utiliza a cifragem e.Informática – 2015) Considere que o TCM/GO decidiu adquirir certificados digitais ICPBRASIL do tipo A3 para que seus servidores possam acessar os sistemas. (C) no computador pessoal do usuário. (E) cada usuário do sistema de banco de dados possui apenas duas chaves públicas e nenhuma chave privada. informações e serviços no ambiente informatizado.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 (E) efetuar buscas minuciosas no computador do usuário.br 110 de 137 WWW. (E) em CD. com o objetivo de identificar informações sigilosas. 9. (D) se um usuário U1 quiser trocar dados com um usuário U2 deve criptografar os dados com a chave privada de U2. em repositório sob responsabilidade da ICP-Brasil. (FCC – CNMP – Analista – Suporte e Infraestrutura – 2015) Uma das formas de se implementar a segurança em um sistema de bancos de dados é por meio da criptografia de dados. frequentemente. (B) em um cartão inteligente ou token.

(B) RSA. (E) AES.com. (D) Internet banking. ou seja. (C) Botnet. (B) Segurança WEP para redes sem fio WiFi. a que utiliza o esquema de chave assimétrica é (A) DES. repentinamente.CONCURSEIROSUNIDOS. acesso aos serviços bancários pela internet. (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia da Informação – 2015) Esquemas de criptografia com chave simétrica e com chave assimétrica são utilizados para os diferentes tipos de transferência de dados e informações. (C) IDEA. (B) Adware.estrategiaconcursos.ORG . (FCC – TRT/15ª Região – Técnico Judiciário – Tecnologia da Informação – 2015) O usuário de um computador conectado à internet está se queixando que. (E) Acesso ao sistema operacional Windows 2008 Server por meio de senha. (D) RC4. É um recurso de segurança que utiliza o esquema de criptografia de chave assimétrica: (A) Acesso ao gerenciador de banco de dados Oracle 10g por meio de senha. Considerando a possibilidade de que um malware está atacando o computador do usuário. começaram a aparecer janelas com anúncios na tela do computador. 10. (D) Spyware. Prof. Dentre as diferentes técnicas de criptografia atualmente utilizadas. (C) Acesso ao sistema operacional Linux Xen por meio de senha.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 informação original. Victor Dalton www. o sintoma relatado aparenta ser a ação de um malware do tipo (A) Backdoor. (E) Rootkit. 11.br 111 de 137 WWW.

(B) Scan. III. não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos. (D) Spoofing. mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores. como características de códigos maliciosos. considere: I. Prof.ORG . II. II e III tratam de características de um (A) Keylogger. as células assinaladas por um tique.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 12.br 112 de 137 WWW. Diferente do vírus. como consequência. Os itens I. É notadamente responsável por consumir muitos recursos devido à grande quantidade de cópias de si mesmo que costuma propagar e. enviando cópias de si mesmo de computador para computador.estrategiaconcursos.CONCURSEIROSUNIDOS. (C) Worm. pode afetar o desempenho de redes e a utilização de computadores. (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia da Informação – 2015) Sobre um programa de código malicioso − malware. (E) Trojan Proxy. Victor Dalton www. 13. abaixo. Programa capaz de se propagar automaticamente pelas redes. (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia da Informação – 2015) Considere.com.

CONCURSEIROSUNIDOS. Victor Dalton www. (B) assimétrica. correta e respectivamente a (A) Rootkit e Trojan. pois utiliza um algoritmo eficiente e de maior desempenho de processamento se comparado ao de chave simétrica.ORG . pois apresenta maior velocidade de processamento se comparado ao de chave assimétrica. Prof. (D) Trojan e Backdoor. (B) Trojan e Rootkit.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 Neste caso. I e II correspondem. o Analista deve escolher o de chave (A) simétrica. 14.com. Dentre os esquemas de criptografia. (C) Backdoor e Rootkit.estrategiaconcursos. (FCC – TRT/3ª Região – Analista Judiciário – Tecnologia da Informação – 2015) O Analista Judiciário da área de TI incumbido de melhorar a segurança da informação do TRT da 3a Região deseja escolher o esquema de criptografia a ser utilizado para uma transferência de urgência de grande quantidade de dados entre os Tribunais. (E) Rootkit e Backdoor.br 113 de 137 WWW.

o que o torna mais seguro que o de chave simétrica.br 114 de 137 WWW. mas não tem meios para enviar um código secreto (chave) de forma segura para aquele Tribunal. (C) 128.estrategiaconcursos.CONCURSEIROSUNIDOS. (FCC – TRT/3ª Região – Analista Judiciário – Tecnologia da Informação – 2015) O algoritmo de criptografia AES foi desenvolvido para substituir o DES. (B) privada. 15. ou seja. Prof. (E) 240.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 (C) simétrica devido à facilidade que este apresenta para enviar a chave pela internet de forma segura. em bits. pois requer a utilização de duas chaves para criptografar e descriptografar a informação. Victor Dalton www. o técnico deve utilizar o esquema de criptografia de chave (A) simétrica. (D) 512. (FCC – TRT/3ª Região – Técnico Judiciário – Tecnologia da Informação – 2015) O técnico judiciário da área de TI do TRT da 3a Região deve escolher o esquema de criptografia mais adequado para a seguinte situação.ORG . (D) unificada. (B) 256. (E) simétrica devido à facilidade que este apresenta para gerenciar grande quantidade de chaves se comparado ao de chave assimétrica. (C) assimétrica. Ele deve receber uma informação de forma segura. de outro Tribunal. (D) assimétrica. Nessa situação. o algoritmo do AES realiza a cifragem sobre blocos de dados com tamanho. criptografada. (E) isolada. 16. de (A) 192. Diferentemente do DES.com. cuja segurança havia sido quebrada.

Prof. com regras o mais claro e simples possível. (E) checar a veracidade de uma assinatura digital junto a uma Autoridade Certificadora. (B) 56 bits. (B) criar uma chave criptográfica específica e personalizada para o arquivo a ser transmitido pela rede. Atualmente ele é utilizado na forma denominada Triple DES. (FCC – TRT/3ª Região – Técnico Judiciário – Tecnologia da Informação – 2015) Um dos padrões de criptografia mais difundidos mundialmente é o Data Encryption Standard − DES. principalmente a transmissão de informações pela rede de computadores. e transmitir a chave assimétrica utilizada para criptografar os dados. Nesse contexto. válida para os setores críticos da organização. o hash é utilizado para (A) gerar um conjunto de dados de tamanho fixo independentemente do tamanho do arquivo original. (E) 64 bits. Victor Dalton www.br 115 de 137 WWW. devido à fragilidade identificada no DES que utiliza uma chave com (A) 48 bits. claramente sustentada pela alta hierarquia da área de informática. (FCC – TRT/3ª Região – Técnico Judiciário – Tecnologia da Informação – 2015) Diversos recursos e ferramentas são utilizados para melhorar a segurança da informação.com. e estrutura gerencial de fiscalização dessa política. 19. (D) 84 bits.CONCURSEIROSUNIDOS. (D) armazenar. (ESAF – Superintendência de Seguros Privados – Tecnologia da Informação – 2010) Por política de segurança entende-se a) política planejada. em um arquivo. (C) verificar a autenticidade da mensagem utilizando a chave simétrica gerada no processo de hashing.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 17. (C) 128 bits. 18.ORG .estrategiaconcursos.

estrategiaconcursos. II. e estrutura gerencial e material de terceirização de procedimentos.com. com regras criptografadas e estrutura matricial e material de priorização dessa política. III. c) confidencialidade. fiscalizada por toda a organização. confiabilidade e disponibilidade. implantada e imune a revisões. Na ISO/IEC 17799(27002). implantada e em contínuo processo de revisão. em contínuo processo de desenvolvimento. claramente sustentada pela alta hierarquia. com regras o mais claro e simples possível. Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. claramente sustentada pelos gestores do nível operacional. b) confiabilidade. a a) disponibilidade.ORG . com técnicas criptográficas o mais claro e simples possível.CONCURSEIROSUNIDOS. d) política elaborada. válida para toda a organização. integridade e distributividade. quando possível. válidas para os responsáveis pela segurança. e) o conjunto de diretrizes e metas elaboradas. Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. II e III correspondem. sustentada pela alta hierarquia.adaptada) Considere: I.br 116 de 137 WWW. c) política e diretrizes de implantação. integridade e confiabilidade. 20. confiabilidade e disponibilidade. respectivamente. Prof. implantadas e em contínuo processo de revisão. (FCC – TRT 24ª Região – Analista Judiciário – Tecnologia da Informação – 2011 . Victor Dalton www. d) confidencialidade. integridade e disponibilidade. e estrutura gerencial e material de suporte a essa política. Salvaguarda da exatidão e completeza da informação e dos métodos de processamento. e) integridade. com estrutura gerencial de regras de formalização individualizada dessa política nas unidades organizacionais. I. válida para toda a organização.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 b) política elaborada. claramente sustentada pela alta hierarquia.

br 117 de 137 WWW. ao passo que a segunda possui o problema da complexidade binária. d) quebrar uma criptografia simétrica por meio de busca exaustiva da chave. e) legalidade.com. 23. 22. o conceito de força bruta significa uma técnica para a) eliminar todas as redundâncias na cifra. tornando maior o caos. b) K M V C W J Q.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 21. (FCC – Banco Central do Brasil – Analista Área 1 – 2006) Em uma criptografia. (ESAF – Auditor de Finanças e Controle – Infraestrutura de TI – 2012) Comparando a criptografia simétrica com a assimétrica. d) I K T Z X G R. e) G I R X V E P. c) acrescentar aleatoriedade aos dados. c) integridade. (FCC – Banco Central do Brasil – Analista Área 1 – 2006) NÃO é uma cifra de César resultante da criptografia sobre uma mesma mensagem: a) F H Q W U D O. (FCC – SEFAZ/SP – Agente Fiscal de Rendas – 2013) Um dos recursos básicos utilizados na segurança da informação é a criptografia que tem como objetivo assegurar a a) consistência. c) E G P V T C N. b) disponibilidade. e) ocultar uma determinada informação para torná-la imperceptível. Victor Dalton www. Prof. 24. observa-se que a) a primeira possui o problema do gerenciamento de chaves.CONCURSEIROSUNIDOS. b) tornar complexa a relação entre a chave e a cifra.estrategiaconcursos. d) privacidade.ORG .

Victor Dalton www. (FCC – TRT 11ª Região – Analista Judiciário – Tecnologia da Informação . respectivamente. b) método de espalhamento e PKI. ao passo que a segunda possui o problema da criação e distribuição de chaves. somente a outra chave do par pode decodificá-la.2012) Corresponde a uma função de hash criptográfico. e uma privada. MD5 e DES. c) 3DES. a um algoritmo de criptografia simétrica e a um algoritmo de chave pública. II. e) criptografia de chave pública e método de espalhamento 26. d) criptografia de chave simétrica e de chave assimétrica. Diffie-Hellman e RSA. que pode ser livremente divulgada. Utiliza duas chaves distintas: uma pública. 25.ORG . c) a primeira possui o problema da distribuição e gerenciamento de chaves. (FCC – MPE/MA – Analista Ministerial – Segurança da Informação – 2013) Considere: I. SHA-1 e RC6. Quando uma informação é codificada com uma das chaves.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 b) a primeira possui o problema da privacidade da chave universal. MD5 e RC5. sendo usada principalmente para garantir a confidencialidade dos dados. DES e RSA.com. e) a primeira possui o problema do desempenho. a) SHA-1. Utiliza uma mesma chave tanto para codificar como para decodificar informações. respectivamente. e) Diffie-Hellman. Prof. ao passo que a segunda possui o problema do desempenho em ambientes corporativos. c) função de resumo e assinatura digital.CONCURSEIROSUNIDOS.estrategiaconcursos. a) assinatura digital e função de resumo. Os itens acima descrevem. ao passo que a segunda possui o problema da geração de chaves. b) MD5.br 118 de 137 WWW. d) AES. d) a primeira possui o problema do desempenho em redes sem fio. ao passo que a segunda possui o problema do desempenho.

d) consegue obter a chave privada a partir de ataques de dicionário. mas não o inverso. b) SHA1 é um exemplo de algoritmo de criptografia com aplicações que não são criptográficas como. o usuário mal-intencionado a) pode ler o conteúdo das mensagens enviadas de João a Marcela. c) não tem acesso ao conteúdo das mensagens de posse desses itens. por exemplo. porque este último é suscetível a "ataques de força bruta". a chave pública de João.ORG . é correto afirmar que a) AES é um exemplo de criptografia de chave assimétrica.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 27. mas não o inverso. porque este último utiliza chaves assimétricas. b) pode ler o conteúdo das mensagens enviadas de Marcela a João.estrategiaconcursos. e) consegue obter a chave privada utilizando ataques de SQL Injection. Victor Dalton www. d) DES. c) RSA.BNDES – Analista de Suporte de Sistemas – 2010) Um usuário mal-intencionado obteve.com. b) SHA 1. d) DES é considerado mais seguro que AES. e) AES é considerado mais seguro que DES.br 119 de 137 WWW. 28. 192 ou 256 bits é conhecido como: a) PKCS#7. e) AES. 29. (FCC – TJ/PE – Analista Judiciário – Analista de Suporte – 2012) O padrão de criptografia que é uma cifra simétrica de bloco que usa um tamanho de bloco de 128 bits e um tamanho de chave de 128. a verificação de integridade de dados. além do tipo de algoritmo utilizado na criptografia. c) RSA é um exemplo de criptografia de chave simétrica. Prof. quando este iniciou uma comunicação criptografada (algoritmo assimétrico) com Marcela. (Cesgranrio . De posse dessa chave pública e do algoritmo.CONCURSEIROSUNIDOS. (FCC – TRT 6ª Região – Analista Judiciário – Tecnologia da Informação – 2012) A respeito de algoritmos criptográficos.

. usando a chave pública do remetente. e) ser a versão eletrônica de uma cédula de identidade. TI – 2008) Em assinaturas digitais.CONCURSEIROSUNIDOS. c) o resumo obtido na recepção for o hash do resumo original.com. b) pública do emissor. o algoritmo de hash é aplicado na mensagem recebida. c) garantir a autenticidade de um documento.estrategiaconcursos. que ela foi realmente gerada por quem diz e que ela não foi alterada. Prof. associada a um token. Victor Dalton www. A lacuna é preenchida corretamente por a) confidencialidade. b) velocidade.. d) criptografar um documento assinado eletronicamente. c) robustez. (FCC – MPE/MA – Analista Ministerial – Segurança da Informação – 2013) A assinatura digital permite comprovar a ..Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 30. b) os dois certificados digitais forem iguais. temse que o algoritmo de assinatura digital é aplicado sobre a assinatura digital recebida.. a chave criptográfica usada para a verificação da autenticidade de um dado emissor por um receptor é a chave a) privada do emissor. garantindo deste modo que apenas ele possa ter efetuado a operação. d) autenticidade. ou seja. e a integridade de uma informação. 31. 32. (ESAF – Auditor de Finanças e Controle – Infraestrutura de TI – 2012) Com relação ao processo de verificação de assinatura digital. d) os dois resumos obtidos forem iguais.. o que resulta no resumo criptográfico da mensagem. b) identificar um usuário por meio de uma senha. e) as chaves públicas forem diferentes. A assinatura digital é válida se a) os dois resumos obtidos forem simétricos. (FCC – MPE/MA – Analista Ministerial – Segurança da Informação – 2013) Uma assinatura digital é um recurso de segurança cujo objetivo é a) identificar um usuário apenas por meio de uma senha.br 120 de 137 WWW. e) criptografia. A assinatura digital baseia-se no fato de que apenas o dono conhece a chave privada. (ESAF – Auditor de Finanças e Controle – Infraestrutura de 33.ORG . em seguida.

por meio de um registro que comprove identidade. (FGV – Senado . quando as transações são feitas de forma eletrônica. 35.com. de forma única e exclusiva. No caso do passaporte. É a garantia de que somente o titular do Certificado poderia ter realizado determinada operação. Victor Dalton www. Quando são realizadas transações. e) Federação de Segurança. Entre os fatores garantidos pela Certificação Digital. é um documento eletrônico de identidade. Esses fatores são conhecidos. dois são descritos a seguir: I. o Certificado Digital surge como forma de garantir a identidade das partes envolvidas. É a garantia de que as informações trocadas nas transações eletrônicas não foram alteradas no caminho que percorreram. por exemplo. d) Comissão Regional de Registros. b) Unidade de Registro de Domínios. d) uma assinatura digital. II. por: Prof. (FCC – TRT/2ª Região – Técnico Judiciário – Tecnologia da Informação – 2013) Um código anexado ou logicamente associado a uma mensagem eletrônica que permite. a entidade responsável pela emissão e pela veracidade dos dados é a Polícia Federal. (FCC – MPE/MA – Analista Ministerial – Segurança da Informação – 2013) Um certificado digital pode ser comparado a um documento de identidade. muitas vezes é solicitada uma identificação. c) uma chave simétrica. a comprovação da autoria de um determinado conjunto de dados é: a) uma autoridade certificadora. No caso do certificado digital esta entidade é a a) Autoridade Certificadora. respectivamente.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 c) pública do receptor. ao passaporte. e) simétrica compartilhada entre emissor e receptor.Analista de Sistemas – 2012 – 1ª aplicação) Um certificado digital é um arquivo eletrônico que identifica quem é o seu titular.estrategiaconcursos. Na Internet.ORG .CONCURSEIROSUNIDOS. no qual constam dados pessoais e a identificação de quem o emitiu. c) Autoridade de Registro. de forma presencial. b) uma trilha de auditoria. 36. ou seja. e) um certificado digital.br 121 de 137 WWW. 34. pessoa física ou jurídica. d) privada do receptor.

é INCORRETO afirmar: Prof. 38. c) chave pública do dono do certificado.br 122 de 137 WWW. 39. Está correto o que consta em: a) I apenas.CONCURSEIROSUNIDOS.estrategiaconcursos. É INCORRETO dizer que dentre estes dados também se inclua: a) validade do certificado. III – O mesmo que uma assinatura digital. e) I. (FCC – Câmara dos Deputados – Analista de Informática – 2007) Um certificado digital é: I – Um arquivo eletrônico que contém a identificação de uma pessoa ou instituição. − dados que identificam quem emitiu o certificado. (FCC – INFRAERO – Analista de Sistemas – Rede e Suporte – 2011) Em relação à assinatura digital.ORG .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 a) Não-repúdio e Privacidade nas transações b) Não-repúdio e Integridade das mensagens c) Confidencialidade e Integridade das mensagens d) Autenticidade e Integridade das mensagens e) Autenticidade e Privacidade nas transações 37. b) III apenas. II – Equivalente ao RG ou CPF de uma pessoa. d) algoritmo de assinatura. II e III. b) chave privada do dono do certificado. Victor Dalton www. − dados que identificam o dono do certificado. os dados básicos que compõem um certificado digital são: − versão e número de série do certificado. c) I e II apenas. (FCC – MPE/MA – Analista Ministerial – Segurança da Informação – 2013) De forma geral. e) requerente. d) I e III apenas.com.

ele confirma que foi aquele emitente e somente aquele emitente quem enviou a mensagem. b) montar. instanciar. Prof.br 123 de 137 WWW. c) criptografia simétrica e o proprietário referido corresponde a uma autoridade certificadora. A definição é de a) assinatura digital e o terceiro referido corresponde ao signatário recebedor da mensagem.software. armazenar. armazenar. restaurar e publicar certificados digitais. e) assinatura de chave pública e o proprietário referido corresponde a uma autoridade certificadora. Victor Dalton www. distribuir e revogar certificados digitais.CONCURSEIROSUNIDOS. gerenciar. d) certificado de chave pública e o terceiro referido corresponde a uma autoridade certificadora. publicar e revogar certificados digitais. portanto. portanto. com o bloco inteiro assinado por um terceiro que tenha credibilidade. (ESAF – Analista de Finanças e Controle – Infraestrutura de TI – 2012) Infraestrutura de Chave Pública é o conjunto de hardware. armazenar. d) criar. a assinatura não pode ser repudiada.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 a) Quando um usuário usa a chave pública do emitente para decifrar uma mensagem. 41.com.ORG . transmitir. políticas e procedimentos necessários para a) instanciar.estrategiaconcursos. b) criptografia assimétrica e o terceiro referido corresponde ao signatário recebedor da mensagem. ela não é reutilizável. c) criar. validar perante a Polícia Federal. a assinatura é autêntica. c) A assinatura não pode ser forjada. distribuir e apagar certificados digitais. e) O usuário destinatário não precisa de nenhuma ajuda do usuário emitente para reconhecer sua assinatura e o emitente não pode negar ter assinado o documento. b) O documento assinado não pode ser alterado: se houver qualquer alteração no texto criptografado este só poderá ser restaurado com o uso da chave pública do emitente. e) montar. pois somente o emitente conhece sua chave secreta. apagar. portanto. (FCC – TRT 24ª Região – Analista Judiciário – Tecnologia da Informação .2011) Consiste em uma chave pública mais um ID de usuário do proprietário da chave. gerenciar. d) A assinatura é uma função do documento e não pode ser transferida para outro documento. 40. pessoas. restaurar e publicar certificados digitais.

br 124 de 137 WWW. Victor Dalton www. B4 e B5. S3 e S4. (D) DES. (C) B1. (C) simplicidade das chaves simétricas. SHA-64. (B) RSA.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 42. (D) S1. são os Certificados de Assinatura Digital (A) A1. SHA-256 e SHA-512.ORG . 45.estrategiaconcursos.com. autenticidade e confiabilidade. (D) ineficiência do algoritmo de criptografia de chaves simétricas. (E) quebra do sigilo de chaves assimétricas. (E) SHA-32. 44. redes privadas virtuais. 43. S2. informações eletrônicas. cifração de chaves de sessão e assinatura de documentos com verificação da integridade de suas informações.CONCURSEIROSUNIDOS.2014) Um Analista em Tecnologia da Informação do TRT da 1a Região deve escolher um algoritmo de criptografia assimétrica para os serviços de acesso à rede de computadores do Tribunal. transações online. (C) RC4. A3 e A4. SHA-128 e SHA-256. garantindo os aspectos de confidencialidade. correio eletrônico. B2. (FCC – TRT/1ª Região – Analista Judiciário – Tecnologia da Informação . (B) ineficiência do algoritmo de criptografia de chaves assimétricas. Esse sistema foi proposto em decorrência do problema de (A) distribuição de chaves simétricas. transações eletrônicas. (E) IDEA. (FCC – TRT 16ª Região – Técnico Judiciário –Tecnologia da Informação – 2014) Os certificados usados para confirmação da identidade na web. A2. SHA-1. (FCC – TCE/RS – Auditor Público Externo – Técnico em Processamento de Dados – 2014) O sistema de Certificação Digital foi introduzido para aumentar a segurança da informação transmitida entre duas organizações. (FCC – ISS/SP – Auditor-Fiscal Tributário Municipal I – Tecnologia da Informação – 2012) São algumas das medidas de prevenção contra a infecção ou proliferação de vírus: Prof. (B) SHA-0. O Analista deve escolher o (A) AES. B3.

(FCC – Banco Central do Brasil – Analista Área 1 – 2006) Um código malicioso que se altera em tamanho e aparência cada vez que infecta um novo programa é um vírus do tipo a) de boot. tais como RTF. IV. II.Analista de Suporte de Sistemas – 2010) Um conjunto de computadores está sendo utilizado para tirar de operação um serviço de determinado órgão público. Procurar utilizar. apenas. III. apenas. b) I.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 I. c) I e III. Victor Dalton www. e) II e III. c) parasita. o formato executável. d) Buffer Overflow. e) polimórfico. Procurar não utilizar. II e III. no caso de arquivos comprimidos. e) DDoS. d) camuflado. Desabilitar no programa leitor de e-mails a autoexecução de arquivos anexados às mensagens. b) SQL Injection. c) XSS.estrategiaconcursos. 47. na elaboração de documentos. (Cesgranrio . Prof. b) de macro.BNDES .com. Não executar ou abrir arquivos recebidos por e-mail ou por outras fontes antes de certificar-se de que esses arquivos foram verificados pelo programa antivírus. d) II. Está correto o que se afirma em a) I.CONCURSEIROSUNIDOS.ORG . III e IV. apenas. Essa situação configura o ataque do tipo a) Replay. 46. II. formatos menos suscetíveis à propagação de vírus.br 125 de 137 WWW. PDF ou PostScript. apenas.

Prof. Neste contexto encontramse bots e botnets. b) Keyloggers. pois serve de base para o atacante estabelecer suas ações maliciosas. b) Bot é um programa que dispõe de mecanismos de comunicação com o invasor e possui um processo de infecção e propagação igual ao do vírus.com. e) Worm. tornar a rede indisponível disparando uma grande carga de dados direcionados ao servidor da rede.2012) Vírus de computador e outros programas maliciosos (Malwares) agem de diferentes formas para infectar e provocar danos em computadores. Victor Dalton www. pois o bot instalado tem o objetivo de enviar infinitamente spams para a caixa de e-mail de quem é vítima do ataque. normalmente.ORG .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 48. propagação de códigos maliciosos. como desferir ataques. envio de spam e camuflagem da identidade do atacante. não é capaz de se propagar automaticamente. c) Um computador infectado por um bot costuma ser chamado de attack base. coleta de informações de um grande número de computadores. d) A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer exclusivamente via redes do tipo P2P.CONCURSEIROSUNIDOS. (FCC – MPE/AP – Técnico Ministerial – Informática . sobre os quais é correto afirmar: a) Botnet é um software malicioso de monitoramento de rede que tem a função de furtar dados que transitam pela rede e. furtar dados do computador infectado e enviar spam. 49. Ao se comunicar. Também pode ser chamado de spam host.2012) Códigos maliciosos (malwares) são programas que objetivam executar ações danosas e atividades maliciosas em um computador. O Malware que age no computador capturando as ações e as informações do usuário é denominado a) Cavalo de Troia. c) Backdoors. o invasor pode enviar instruções para que ações maliciosas sejam executadas.estrategiaconcursos.br 126 de 137 WWW. (FCC – TST – Analista Judiciário – Tecnologia da Informação . ou seja. d) Spyware. e) Algumas das ações maliciosas que costumam ser executadas por intermédio de botnets são: ataques de negação de serviço.

b) Caso seja fornecida a senha.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 50. (FCC – TRT/6ª Região – Técnico Judiciário – Tecnologia da Informação . Victor Dalton www. pois os computadores Mac são imunes a este tipo de ataque.2012) Sobre Cavalo de Tróia. c) Certamente empresas especializadas podem oferecer soluções para desinfectar as máquinas Mac. d) Dificilmente uma empresa.xls que infecta o sistema ao ser aberto.2012) Considere: Em relação a malwares e com base na notícia apresentada.estrategiaconcursos. (FCC – MPE/PE – Analista Ministerial – Informática . e) uma arquivo . é correto afirmar: Prof. d) um programa executável que infecta o sistema ao ser executado. b) um arquivo . pois o Flashback irá destruir o disco rígido. mesmo especializada. EXCETO a) um arquivo . c) uma extensão do navegador que infecta o sistema ao ser executada. conseguirá oferecer soluções de desinfecção para máquinas Mac. o usuário perderá sua máquina.CONCURSEIROSUNIDOS. e) A Apple certamente irá à falência depois de uma notícia como esta.doc que infecta o sistema ao ser aberto no editor. 52.com. 51.ORG . Software assim pode ganhar acesso a um computador através dos seguintes meios.2012) O termo malware é uma denominação genérica para designar software projetado para causar danos a quem o executa.mp3 que infecta o sistema ao ser tocado.br 127 de 137 WWW. (FCC – TRT/6ª Região – Técnico Judiciário – Tecnologia da Informação . é correto afirmar: a) Trata-se de uma notícia alarmista e falsa.

e) Distingue-se de um vírus ou de um worm por não infectar outros arquivos.estrategiaconcursos. daquelas relacionadas ao comportamento de um vírus. II. Prof. por isso. respectivamente.br.ORG . b) Contém um vírus.br 128 de 137 WWW. (FCC – TRT/14ª Região – Analista Judiciário – Tecnologia da Informação .CONCURSEIROSUNIDOS. c) Não é necessário que o Cavalo de Tróia seja executado para que ele se instale em um computador. Monitorar atividades de um sistema e enviar as informações coletadas para terceiros. quer por intermédio de um browser quer por meio de algum outro programa instalado. 53.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 a) Consiste em um conjunto de arquivos . mas sim replicar arquivos de propaganda por e-mail. Especificamente projetado para apresentar propagandas. pois seu único objetivo não é obter o controle sobre o computador. d) Não instala programas no computador. Victor Dalton www. I e II são tipos de software categorizados.com. Cavalos de Tróia vem anexados a arquivos executáveis enviados por e-mail. (FUNCAB – MPE/RO – Analista – Suporte de Informática 2012) Os programas keyloggers e screenloggers são considerados programas do tipo: a) adware b) cavalo de troia. b) adware e worm.bat que não necessitam ser explicitamente executados. não é possível distinguir as ações realizadas como consequência da execução do Cavalo de Tróia propriamente dito.2011) Analise as seguintes características de software: I. como a) Trojan e worm. nem propagar cópias de si mesmo automaticamente. De acordo com cgi. c) spyware d) worms e) hoaxes 54.

Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 c) adware e spyware. considere: I. a) Propaga-se de celular para celular por meio de bluetooth ou de mensagens MMS. Alguns dos tipos de vírus mais comuns são apresentados nas afirmativas abaixo. afetar o desempenho do computador e interferir na capacidade de detecção um do outro. Victor Dalton www. Há outros que permanecem inativos durante certos períodos. são suficientes para proteger o computador.ORG . Está correto o que se afirma APENAS em a) I.estrategiaconcursos. Devem ser configuradas para verificar apenas arquivos executáveis. c) I e III. d) spyware e trojan. d) II e IV.2013) Com relação à utilização correta de ferramentas antimalware. pois eles podem entrar em conflito. (FCC – MPE/AM – Agente de Apoio – Manutenção e Suporte de Informática .br 129 de 137 WWW. A infecção ocorre quando um usuário permite o recebimento de um arquivo infectado e o executa. pois são os únicos que podem conter vírus e outros tipos de malware. 56. entrando em atividade apenas em datas específicas. b) III e IV. Assinale o que NÃO se trata de um vírus. pode destruir ou sobrescrever arquivos. É aconselhável utilizar programas antimalware on-line quando se suspeitar que o antimalware local esteja desabilitado ou comprometido ou quando se necessitar de uma segunda verificação. remover ou transmitir contatos da agenda. IV. Após infectar o celular. 55. II e III. pois os programas on-line além de serem mais eficientes. Alguns procuram permanecer ocultos. e) I. e) phishing e spam. III. Prof. infectando arquivos do disco e executando uma série de atividades sem o conhecimento do usuário.CONCURSEIROSUNIDOS. Não é recomendável ter um antimalware instalado no computador.2013) Há diferentes tipos de vírus. efetuar ligações telefônicas e drenar a carga da bateria. (FCC – MPE/CE – Analista Ministerial – Ciências da Computação . Deve-se evitar executar simultaneamente diferentes programas antimalware.com. II.

na verdade.2013) Ataques costumam ocorrer na Internet com diversos objetivos. Consiste em alterar campos do cabeçalho de um e-mail. Quando entra em ação. Esta técnica é possível devido a características do protocolo SMTP que permitem que campos do cabeçalho sejam falsificados. e) Após infectar um computador.com. em nome de um site de comércio eletrônico ou de uma instituição financeira.br 130 de 137 WWW.estrategiaconcursos.CONCURSEIROSUNIDOS. por exemplo. como um arquivo anexo ou parte do próprio e-mail escrito em HTML. 2. de forma a aparentar que ele foi enviado de uma determinada origem quando. Pode ser automaticamente executado. necessita identificar os computadores alvos para os quais tentará se copiar. Victor Dalton www. (FCC – MPE/CE – Analista Ministerial – Ciências da Computação . dependendo da configuração do browser e do leitor de e-mails do usuário. 57. Ao fazer isto. é direcionada para uma página web falsa.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 b) Recebido como um arquivo anexo a um e-mail. em a) 1-flood 2-rootkit 3-spyware b) 1-DoS 2-phishing 3-spoofing c) 1-DoS 2-adware 3-rootkit Prof. 3. que tenta induzi-la a clicar em um link. d) Escrito em linguagem de macro e tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem como. foi enviado de outra. infecta arquivos e programas e envia cópias de si mesmo para os e-mails encontrados nas listas de contatos gravadas no computador. A associação entre a descrição e o tipo de ataque é expressa correta. visando diferentes alvos e usando variadas técnicas. Uma pessoa recebe um e-mail. c) Escrito em linguagem de script. os que compõem o Microsoft Office. Pode ser realizado por diversos meios. semelhante ao site que realmente deseja acessar. como pela geração de grande tráfego de dados para uma rede. e respectivamente. o que pode ser feito efetuando uma varredura na rede e identificando os computadores ativos. Analise os exemplos e descrições abaixo. 1. no qual são solicitados os dados pessoais e financeiros da pessoa. tenta se propagar e continuar o processo de infecção.ORG . que tenta induzir o usuário a clicar sobre este arquivo para que seja executado. Para isso. ocupando toda a banda disponível e tornando indisponível qualquer acesso a computadores ou serviços desta rede. recebido ao acessar uma página web ou por e-mail.

II. Pode ser utilizado para autenticação do emissor e do receptor. 59. quando necessário.ORG . Victor Dalton www. b) Os procedimentos de recuperação devem ser verificados e testados regularmente. completa ou diferencial) e a frequência da geração das cópias de segurança devem refletir os requisitos de negócio da organização. Assinale a alternativa correta. considere as afirmativas a seguir.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 d) 1-adware 2-DoS 3-spyware e) 1-spyware 2-rootkit 3-DoS 58. de forma a garantir que estes são efetivos e que podem ser concluídos dentro dos prazos definidos nos procedimentos operacionais de recuperação. É computacionalmente inviável gerar um par de chaves. IV. I. Prof. É baseado em criptografia simétrica. e) As cópias de segurança devem ser armazenadas no local onde os dados foram processados para facilitar um rápido processo de restauração em caso de desastre. a) Somente as afirmativas I e II são corretas. d) A extensão (por exemplo.estrategiaconcursos. A dificuldade no ataque ao RSA consiste em encontrar os fatores primos de um número composto. III. c) As mídias de cópias de segurança devem ser testadas regularmente para garantir que sejam suficientemente confiáveis para uso de emergência.CONCURSEIROSUNIDOS.com. (UEL – SEFAZ/PR – Auditor Fiscal – 2012) Sobre o algoritmo de criptografia RSA. (FCC – ISS/SP – Auditor-Fiscal Tributário Municipal I – Tecnologia da Informação – 2012) NÃO é um item a ser considerado para a geração das cópias de segurança: a) A produção de registros completos e exatos das cópias de segurança e de documentação apropriada sobre os procedimentos de restauração da informação é indispensável.br 131 de 137 WWW.

c) Somente as afirmativas III e IV são corretas. ao se conectar um computador à rede ele pode estar sujeito a diversos tipos de ataques. está correto o que se afirma em: (A) Interceptação de tráfego consiste em adivinhar. assim. computadores e serviços com o nome e com os mesmos privilégios deste usuário. Para ganhar mais visibilidade. d) Somente as afirmativas I. executar processos e acessar sites. III e IV são corretas. (D) Bootnet. Victor Dalton www. Apesar deste ataque poder ser realizado manualmente. páginas internas também podem ser alteradas. (FCC – TRT 16ª Região – Analista Judiciário – Tecnologia da Informação – 2014) Após a instalação de um programa obtido na internet. (E) Keylogger.br 132 de 137 WWW.ORG . BR. é realizado com o uso de ferramentas automatizadas que permitem tornar o ataque bem mais efetivo. 61.com. um nome de usuário e senha e. (C) Worm. chamar mais atenção e atingir maior número de visitantes. (B) Rootkit. (B) Varredura em redes é uma técnica que consiste em alterar o conteúdo da página web de um site. (C) Um ataque de força bruta é uma técnica que consiste em efetuar buscas minuciosas em redes. II e III são corretas. porém. por tentativa e erro.estrategiaconcursos. além de exibir pop-up indesejável. o navegador Internet Explorer utilizado por Luis apresenta uma página inicial diferente da configurada por ele. com o objetivo de identificar computadores ativos e coletar informações.CONCURSEIROSUNIDOS. geralmente os atacantes alteram a página principal do site. e) Somente as afirmativas II. pode-se concluir que o tipo de malware que atacou o computador do Luis é (A) Hijacker. De acordo com a cartilha CERT.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 b) Somente as afirmativas I e IV são corretas. na grande maioria dos casos. (FCC – TRT 2ª Região – Analista Judiciário – Tecnologia da Informação – 2014) Independentemente do tipo de tecnologia usada. A partir dessas informações. 60. Com base nas informações coletadas é possível associar Prof.

Criptografam comunicações em rede.estrategiaconcursos. O objetivo é exaurir recursos e causar indisponibilidades ao alvo. ao gerarem um alerta sobre conteúdo suspeito ou ao bloquearem a operação de instalação. 62. um computador ou uma rede conectada à Internet. e aos programas instalados nos computadores ativos detectados.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 possíveis vulnerabilidades aos serviços disponibilizados. Previnem a instalação de aplicativos infectados. Protegem contra códigos maliciosos embutidos em macros. Protegem contra trojan embarcado em uma aplicação quando o usuário aceita a sua instalação em sua máquina.br 133 de 137 WWW. (B) II e III. (D) IV e V. Quando isto ocorre.ORG . (E) Ataque de negação de serviço é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço. II. (FCC – ALEPE – Analista Legislativo – Infraestrutura – 2014) Os programas antivírus: I. III. Prof. (C) III e IV. no momento da solicitação de sua instalação. as quais são utilizadas por um software aplicativo ou utilitário do computador do usuário. (FCC – TRT 16ª Região – Técnico Judiciário –Tecnologia da Informação – 2014) Considere o texto abaixo. Protegem contra phishing de páginas web quando o usuário está em navegação utilizando livremente o browser. IV. Está correto o que se afirma APENAS em (A) I e II.com. sejam elas por meio de envio de mensagens ou navegação na Internet através de browser. todas as pessoas que dependem dos recursos afetados são prejudicadas. por meio do uso de programas específicos chamados de sniffers. (E) II e V. 63. (D) Desfiguração ou defacement é uma técnica que consiste em inspecionar os dados trafegados em redes de computadores.CONCURSEIROSUNIDOS. Victor Dalton www. V. pois ficam impossibilitadas de acessar ou realizar as operações desejadas.

III. Força a vítima. desfigurar sites ou redirecionar o usuário para sites maliciosos. Victor Dalton www. (E) Certificadora (AC).CONCURSEIROSUNIDOS. esta entidade está subordinada às entidades de nível hierarquicamente superior.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 É a entidade subordinada à hierarquia da ICP-Brasil.br 134 de 137 WWW.estrategiaconcursos.com. distribuir. 64. As descrições I. (D) de Validação de Chaves (AVC). Desempenha como função essencial a responsabilidade de verificar se o titular do certificado possui a chave privada que corresponde à chave pública que faz parte do certificado. Na hierarquia dos Serviços de Certificação Pública. (C) de Registro (AR). a ataques Prof. Ocorrem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta SQL. O texto refere-se à Autoridade (A) Certificadora Raiz (AC Raiz). (FCC – TRF 3ª Região – Técnico Judiciário –Informática – 2014) Considere as seguintes descrições dos ataques que podem ser realizados por meio da internet: I. II. Os dados manipulados pelo atacante podem iludir o interpretador para que este execute comandos indesejados ou permita o acesso a dados não autorizados. (B) Gestora de Políticas da ICP-Brasil. a enviar uma requisição HTTP forjada.ORG . II e III correspondem. respectivamente. Esse tipo de ataque permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário. a uma aplicação web vulnerável. revogar e gerenciar certificados digitais. Cabe também a esta entidade emitir listas de certificados revogados (LCR) e manter registros de suas operações sempre obedecendo às práticas definidas na Declaração de Práticas de Certificação (DPC). Esta falha permite ao atacante forçar o navegador da vítima a criar requisições que a aplicação vulnerável aceite como requisições legítimas realizadas pela vítima. que possui um par único de chaves (pública/privada). renovar. Ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. responsável por emitir. onde o certificado emitido representa a declaração da identidade do titular. incluindo o cookie da sessão da vítima e qualquer outra informação de autenticação incluída na sessão. que possui uma sessão ativa em um navegador. Cria e assina digitalmente o certificado do assinante.

utilizados na confirmação de identidade na web. responsável por emitir. em Redes Privadas Virtuais (VPNs) e em documentos eletrônicos com verificação da integridade das informações. (E) Cross-Site Scripting.com. (C) assinatura digital é a operação de criptografar um documento com o uso de uma chave criptográfica pública. Victor Dalton www. 66. II. (D) de Injeção.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 (A) de Injeção. de bases de dados.estrategiaconcursos. revogar e gerenciar certificados digitais. distribuir.CONCURSEIROSUNIDOS. que são utilizados na codificação de documentos. (D) a assinatura digital é uma senha do contribuinte que permite a identificação do autor de um documento submetido à Secretaria da Fazenda. Reúne os certificados de sigilo. Cross-Site Gerenciamento de Sessão. em e-mails. Cross-Site Request Forgery e de Injeção. 65. As séries de certificados I e II são categorizadas.ORG . de Injeção e Cross-Site Request Forgery. de Exposição de Dados Sensíveis e Cross-Site Request Forgery. (FCC – SEFAZ/PE – Auditor Fiscal – 2014) Reúne os certificados de assinatura digital. renovar. é chamada de Autoridade Certificadora. Cross-Site Scripting e Cross-Site Request Forgery. Scripting e Quebra de Autenticação e (B) de Redirecionamentos e encaminhamentos inválidos. de Prof. de mensagens e de outras informações eletrônicas sigilosas. (FCC – SEFAZ/PE – Auditor Fiscal – 2014) A certificação digital é uma forma de demonstrar e certificar a identidade do titular da assinatura digital.br 135 de 137 WWW. (B) a entidade subordinada à hierarquia da ICP-Brasil. autorizada pelo governo a realizar operações financeiras e/ou fiscais. É correto afirmar que (A) o certificado digital pode ser obtido junto a qualquer instituição pública estadual ou federal. (E) o contabilista de uma empresa deve ficar com o certificado digital do contribuinte para assinar documentos por ele na sua ausência e/ou em caso de urgência. (C) Cross-Site Scripting. respectivamente. que atribui ao documento integridade e disponibilidade.

independentemente do tamanho que ela tenha. (B) patch. (B) B e D. (C) hoax.br 136 de 137 WWW. (E) B e C. (D) A e S. Victor Dalton www. gera um resultado único e de tamanho fixo é chamado de (A) hash. (C) A e F.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 (A) A e B. Prof. (FCC – SEFAZ/PE – Auditor Fiscal – 2014) O método criptográfico normalmente utilizado para gerar assinaturas digitais que.ORG .CONCURSEIROSUNIDOS. 67. quando aplicado sobre uma informação.com. (E) abstract key. (D) compact brief.estrategiaconcursos.

com.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 02 GABARITO 1 C 24 C 47 E 2 E 25 D 48 E 3 B 26 A 49 D 4 D 27 B 50 C 5 E 28 E 51 A 6 D 29 C 52 E 7 B 30 C 53 C 8 B 31 D 54 C 9 B 32 D 55 C 10 D 33 B 56 E 11 B 34 D 57 B 12 C 35 A 58 E 13 C 36 B 59 B 14 A 37 B 60 A 15 C 38 C 61 E 16 C 39 B 62 D 17 A 40 C 63 E 18 B 41 D 64 D 19 B 42 B 65 B 20 C 43 A 66 D 21 D 44 B 67 A 22 B 45 B 23 D 46 E Prof. Victor Dalton www.estrategiaconcursos.ORG .br 137 de 137 WWW.CONCURSEIROSUNIDOS.

ORG .CONCURSEIROSUNIDOS.Concurseiros Unidos Maior RATEIO da Internet Aula 03 Tecnologia da Informação p/ ICMS/SP .2016 (Gestão Tributária) Professor: Victor Dalton WWW.

você consegue baixar e estudar as normas. violam a lei e prejudicam os professores que elaboram os cursos. Valorize o trabalho de nossa equipe adquirindo os cursos honestamente através do site Estratégia Concursos .ORG .Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 AULA 3: ISO 27001:2013 e 27002:2013 SUMÁRIO PÁGINA 1.610/98.-) Prof.CONCURSEIROSUNIDOS. Na Internet. que altera. Victor Dalton www.estrategiaconcursos. nos termos da Lei 9.com. para que você possa acertar questões. Portanto. Norma ISO 27002 NORMA ISO 27002 em tabela 3.br 1 de 143 WWW. Aqui nossa abordagem é um pouco diferente. Norma ISO 27001 2. nosso trabalho é transmitir o “espírito da norma”. Grupos de rateio e pirataria são clandestinos. e o Plano de Continuidade de Negócios (PCN). Vem comigo? Observação importante: este curso é protegido por direitos autorais (copyright). atualiza e consolida a legislação sobre direitos autorais e dá outras providências. Plano de Continuidade de Negócios Exercícios Comentados Considerações Finais Exercícios Gabarito 2 6 36 52 58 111 112 143 Olá pessoal. voltei! Nessa aula vamos atacar o assunto Segurança da Informação abordando as normas ISO 27002 e 27001. e mostrar como esse conteúdo é cobrado em provas.

Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 SEGURANÇA DA INFORMAÇÃO 1. implementar. a serem aplicados pela organização (oriundos da norma ISO 27002:2013). a adoção de um SGSI deve ser uma decisão estratégica para uma organização. a norma preconiza um conjunto de objetivos de controles e controles.com. uma vez que ela deixou de preconizar um modelo para prover requisitos. o que torna a abordagem desta norma completamente distinta de sua versão anterior. requisitos de segurança. que são poucos: Prof. manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI).CONCURSEIROSUNIDOS. Essa mudança é substancial na versão 2013. pelo menos uma vez. processos empregados e tamanho e estrutura da organização.ORG . É essencial que você baixe a norma (facilmente encontrada na internet) e leia o Anexo com tais elementos. Segundo a referida norma. Importante: a ISO 27001 ”abandonou” o modelo PDCA.br 2 de 143 WWW. A especificação e a implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos. Detalhe: a exclusão de quaisquer dos requisitos especificados na norma não é aceitável para a organização que busca conformidade com essa norma (entenda-se obter a certificação ISO 27001). Victor Dalton www.estrategiaconcursos. NORMA ISO 27001 1. Ainda. Vejamos seus principais pontos a seguir.1 Introdução A norma ISO 27001 foi concebida com o intuito de prover requisitos para estabelecer. Ela também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização.

ou.br 3 de 143 WWW. Por fim. forneça a estrutura para que os objetivos sejam estabelecidos. Ainda. Esteja disponível também para as partes interessadas. Liderança A Alta Direção deverá demonstrar sua liderança e comprometimento com o SGSI (o exemplo vem de cima!).  Comunica a importância de uma gestão eficaz da segurança da informação. Entender necessidades e expectativas das partes interessadas. É ela que. Prof. Esteja disponível como informação documentada. analisando questões internas e externas relevantes para o seu propósito e os resultados pretendidos com o SGSI.3 Entender a organização e seu contexto.2 Contexto da Organização Para a referida norma.estrategiaconcursos. a Alta Direção deve estabelecer uma política de Seg Info que:      Seja apropriada ao propósito da organização. definindo limites e a aplicabilidade do mesmo.  Promove a melhoria contínua. a Alta Direção deve atribuir responsabilidades e autoridades (criação de papéis relevantes) para:  Assegurar que o SGSI esteja em conformidade com os requisitos da Norma.CONCURSEIROSUNIDOS.ORG . conforme apropriado. Inclua objetivos de Seg Info. Victor Dalton www.com. Seja comunicada dentro da organização. ao menos.e Determinar o escopo do SGSI.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 1.  Relatar sobre o desempenho do SGSI para a Alta Direção. dentre outros:  Assegura que a política de Seg Info é compatível com a direção estratégica da organização. a organização deve:    1.

br 4 de 143 WWW. Identifique os riscos de seg info (utilizando o processo de avaliação do risco. além de considerar o contexto da organização.com. inclusive identificando responsáveis).Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 1. necessidades e expectativas das partes interessadas.  Avaliar a eficácia destas ações.4 Planejamento Nesta etapa.ORG . a norma prevê três subetapas: Ações para contemplar riscos e oportunidades Quando do Planejamento do SGSI.CONCURSEIROSUNIDOS. Caberá à organização planejar:  Ações para considerar os riscos e oportunidades.  Alcançar a melhoria contínua.estrategiaconcursos.  Prevenir ou reduzir os efeitos indesejados. Avaliação de riscos de segurança da informação Definir e aplicar um processo de avaliação de riscos de Seg Info que:      Estabeleça e mantenha critérios de aceitação do risco. e os riscos e oportunidades para:  Assegurar que o SGSI possa alcançar seus resultados. válidos e consistentes.  Integrar e implementar essas ações nos processos do seu SGSI. Analise os riscos de Seg Info (consequências e probabilidade). Victor Dalton www. Avalie os riscos de Seg Info (comparando resultados e priorizando os riscos). Assegure que as contínuas avaliações de riscos de Seg Info produzam resultados comparáveis. Esse processo deve ser documentado! Prof.

.e  Conscientização (acerca da política e de sua finalidade). treinamento.  Obter a aprovação dos responsáveis pelos riscos e a aceitação dos riscos residuais.  Preparar plano para tratamento dos riscos.estrategiaconcursos. Reter a informação documentada relativa a esse processo. para saber se algum controle importante foi omitido.. implementar e controlar os processos necessários para atender aos requisitos de Segurança da Informação e para implementar o planejamento dos riscos e oportunidades. dentre outros.ORG . Victor Dalton www. 1.CONCURSEIROSUNIDOS.).5 Apoio O apoio ao estabelecimento do SGSI é explicitado por meio de:  Recursos ($$$). Prof.  Elaborar declaração de aplicabilidade que contenha controles adotados e justificativa para os controles não adotados.com.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Tratamento de riscos de segurança da informação Definir e aplicar um processo de tratamento dos riscos de Seg Info para:  Selecionar os tratamentos apropriados. deverá:  Controlar as mudanças planejadas e analisar criticamente as consequências de mudanças não previstas. experiência. Para tal.  Competência (pessoas capacitadas.  Determinar os controles necessários.6 Operação A organização deverá planejar. 1.  Comunicação (interna e externa)..e  Informação documentada.br 5 de 143 WWW.  Comparar com os controles do Anexo A da norma (conteúdo abordado na ISO 27002). seja pela educação.

1. para assegurar a contínua adequação. Para a não-conformidade.ORG .  Analise criticamente a eficácia das ações tomadas.  Avalie a necessidade de ações para eliminar as causas.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03   1. com ações para controle e correção e tratamento das consequêncicas. a norma recomenda que a organização:  Reaja. Prof. Esta última é reflexo da analise crítica que a Alta Direção realiza periodicamente. se necessário.  Implemente as ações necessárias. pertinência e eficácia. analisar e avaliar o desempenho da segurança da organização e a eficácia do SGSI.e  Retenha toda a documentação pertinente. Ela realmente é bem enxuta. esta leitura tem por objetivo familiarizá-lo com o conteúdo da norma. inclusive conduzindo auditorias internas a intervalos regulares e a Alta Direção deverá analisar criticamente o SGSI. de modo que o seu anexo de controles e objetivos de controle é estudado com maior qualidade no próprio estudo da norma ISO 27002.  Realize mudanças no SGSI.br 6 de 143 WWW. medir.CONCURSEIROSUNIDOS. Avaliação do Desempenho A organização deverá monitorar. Victor Dalton www. também a intervalos regulares.com. a seguir.8 Melhoria A melhoria pode ser considerada em duas frentes: a ação corretiva para uma não-conformidade e a melhoria contínua.e Realizar avaliações de riscos de segurança da informação a intervalos planejados. Enfim.estrategiaconcursos.7 Assegurar que os processos terceirizados estão determinados e são controlados.

1 Considerações iniciais O estudo de Segurança da informação envolve várias frentes. procurando destacar os procedimentos que mais aparecem em prova. É uma norma de Segurança da Informação revisada em 2005 pela International Standards Organization e pela International Electrotechnical Commission.com. esta análise despertará o seu senso crítico em relação ao “espírito” da norma. e foi revisada em 2013. Além disso. Uma delas. que é um Código de Prática para a Gestão da Segurança da Informação. Isto posto. Diferentemente de outros ativos. Prof.br 7 de 143 WWW. Enfim. chamada anteriormente de ISO/IEC 17799. ela deve ser protegida com adequação. ou até mesmo conversada. armazenada em via eletrônica. fazendo que o seu bom senso possa colaborar para acertar questões sobre o assunto. A ISO/IEC 27002 recebeu a atual numeração em julho de 2007. escrita em papel. NORMA ISO 27002 2. ela pode ser impressa.CONCURSEIROSUNIDOS. é norteada pela NORMA ISO/IEC 27002. Vamos lá? 2.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 2.ORG . que por sua vez era uma cópia fiel do padrão britânico BS 7799-1:1999. para proteger os seus ativos e recuperarse de um desastre. os quais são fatores muito importantes para a segurança da informação. integridade e disponibilidade das informações. Victor Dalton www. A versão original foi publicada em 2000.2 Introdução A norma ISO 27002 ressalta que a informação é um ativo muito valioso para uma organização. que corresponde à gestão de política de segurança a ser adotada por uma organização. vamos passar por algumas ideias da norma.estrategiaconcursos. A ISO/IEC-17799 tem como objetivos a confidencialidade.

é interessante ter em mente as definições abaixo.CONCURSEIROSUNIDOS.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Nesse contexto. nos quais se incluem políticas.3 Glossário Para uniformização da linguagem. Victor Dalton www. questões de prova em cima apenas desses entendimentos! Prof. maximizar o ROI e as oportunidades de negócio. Já vi.estrategiaconcursos. Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. 2. Destaque para a tríade da segurança da informação: Segundo a norma: Confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.com. para garantir a continuidade do negócio em caso de desastre. funções de software e hardware e estruturas organizacionais. uma vez que os controles recomendados utilizam e repetem (e muito) os termos abaixo citados. a segurança da informação é alcançada por um conjunto adequado de controles. processos.br 8 de 143 WWW.ORG . inclusive. Integridade: Salvaguarda da exatidão e completeza da informação e dos métodos de processamento. aplicados com o intuito de proteger a informação dos vários tipos de ameaças.

serviço ou infraestrutura. Todo incidente é um evento. seja ele uma política. diretriz. Evento – ocorrência em um sistema. Cada seção contém um número de categorias principais de segurança da informação e cada categoria principal de segurança da informação contém: a) um objetivo de controle que define o que deve ser alcançado. ainda desconhecida Incidente – um evento ou série de eventos indesejados ou inesperados. com grande probabilidade de ameaçar a Seg Info e comprometer o negócio.CONCURSEIROSUNIDOS. ou uma falha de controles. As descrições dos controles estão estruturadas da seguinte forma: Prof. serviço ou rede.br 9 de 143 WWW. e b) um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle. incluindo aí as instalações físicas nas quais eles estão instalados Risco – é a probabilidade de um evento + consequências Ameaça – causa potencial de um incidente não desejado Vulnerabilidade – fragilidade que pode ser explorada por ameaças A partir de agora. temos um incidente. Se a porta aberta mostra uma sala violada. Victor Dalton www. procedimento. mas nem todo evento é um incidente..ORG . ou outra coisa.. veremos um resumo das 14 seções de controles de segurança da informação que. Política – recomendações formais da direção da organização Recurso de processamento da informação – qualquer sistema que processe informações. juntas.com. totalizam 35 objetivos de controle e 114 controles. com mesas e gavetas mexidas.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Ativo – qualquer elemento que possua valor para a organização Controle – forma de gerenciar o risco.estrategiaconcursos. que indica uma probabilidade de violação da política de Seg Info. prática. Ex: uma porta indevidamente aberta é um evento.

publicado e comunicado para todos os funcionários e partes externas envolvidas.ORG . aprovado pela direção. em azul.5 Orientação da Direção para Segurança da Informação Estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementação e operação da segurança da informação dentro da organização (organização interna) Prof. Veremos todos a seguir. adequação e eficácia. Victor Dalton www. 2.com.estrategiaconcursos. Algumas destas diretrizes podem não ser adequadas em todos os casos e assim outras formas de implementação do controle podem ser mais apropriadas. 2.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Controle Define qual o controle específico para atender ao objetivo do controle.br 10 de 143 WWW. Diretrizes para a implementação Contém informações mais detalhadas para apoiar a implementação do controle e atender ao objetivo de controle. para assegurar a sua contínua pertinência.CONCURSEIROSUNIDOS.  Convém que as políticas de segurança da informação sejam analisadas criticamente a intervalos planejados ou quando mudanças significativas ocorrerem. As diretrizes mais relevantes serão ilustradas ao longo dos próximos capítulos.4 Políticas de Segurança da Informação Prover orientação da Direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes  Convém que um conjunto de políticas de segurança da informação seja definido.

e pessoas competentes e capazes de cumprir com as responsabilidades definidas)  Convém que funções conflitantes e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de modificação não autorizada ou não intencional.ORG . ou uso indevido dos ativos da organização (dentro daquele espírito que.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03  Convém que todas as responsabilidades pela segurança da informação sejam definidas e atribuídas (ativos e processos de segurança claramente definidos. Victor Dalton www. será ela quem poderá violar a segurança da informação)  Convém que contatos apropriados com as autoridades relevantes sejam mantidos (corpo de bombeiros. autoridades fiscalizadoras)  Convém que contatos apropriados com grupos especiais.CONCURSEIROSUNIDOS. ao concentrar poder em uma pessoa isolada. independentemente do tipo do projeto Garantir a segurança das informações no trabalho remoto e no uso de dispositivos móveis  Convém que uma política e medidas que apoiam a segurança da informação sejam adotadas para gerenciar os riscos decorrentes do uso de dispositivos móveis Prof.estrategiaconcursos.com.br 11 de 143 WWW. associações profissionais ou outros fóruns especializados em segurança da informação sejam mantidos  Convém que a segurança da informação seja considerada no gerenciamento de projetos.

para funcionários. fornecedores e partes externas.Assegurar que funcionários e partes externas entendem as suas responsabilidade e estão em conformidade com os papeis para os quais eles foram selecionados  Convém que verificações do histórico sejam realizadas para todos os candidatos a emprego.6 a Convém que uma política e medidas que apoiam a segurança da informação sejam implementadas para proteger as informações acessadas.estrategiaconcursos. regulamentações e leis relevantes.br 12 de 143 WWW. restrição instalação de software. processadas ou armazenadas em locais de trabalho remoto (caso a organização permita tal tipo de trabalho) Segurança em Recursos Humanos Antes da contratação . dentre outros: a) Termo de confidencialidade ou de não divulgação.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (considerar registro dos dispositivos móveis.e b) Responsabilidades pela classificação da informação e pelo gerenciamento dos ativos da organização. aos riscos percebidos e à classificação das informações a serem acessadas (podendo inclusive verificar crédito ou registros criminais)  Convém que as obrigações contratuais com funcionários e partes externas reflitam as políticas para segurança da informação da organização. e seja proporcional aos requisitos do negócio.CONCURSEIROSUNIDOS. de acordo com a ética.ORG . proteção contra malware e outros)  2. esclarecendo e declarando.com. Prof. Victor Dalton www.

comunicadas aos funcionários ou partes externas e cumpridas (ou seja. para tornar ações contra funcionários que tenham cometido uma violação de segurança da informação Encerramento e mudança da contratação – Proteger os interesses da organização como parte do processo de mudança ou encerramento da contratação  Convém que as responsabilidades e obrigações pela segurança da informação que permaneçam válidas após um encerramento ou mudança da contratação sejam definidas.Assegurar que os funcionários e partes externas estão conscientes e cumprem as suas responsabilidades pela segurança da informação  Convém que a Direção solicite a todos os funcionários e partes externas que pratiquem a segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização  Convém que todos os funcionários da organização e.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Durante a contratação . Victor Dalton www. educação e conscientização apropriados.br 13 de 143 WWW. onde pertinente.com. implantado e comunicado.estrategiaconcursos. partes externas recebam treinamento.ORG . e as atualizações regulares das políticas e procedimentos organizacionais relevantes para as suas funções  Convém que exista um processo disciplinar formal. podem existir procedimentos em acordos de confidencialidade que devem ser respeitados. mesmo após o encerramento do vínculo de trabalho) Prof.CONCURSEIROSUNIDOS.

CONCURSEIROSUNIDOS. sensibilidade e criticidade para evitar modificação ou divulgação não autorizada (convém que os proprietários dos ativos sejam responsáveis por esta classificação).ORG . Prof. Victor Dalton www.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 2. documentadas e implementadas (para que todos tenham consciência da responsabilidade em utilizar aquele ativo)  Convém que todos os funcionários e partes externas devolvam todos os ativos da organização que estejam em sua posse. dos ativos associados com a informação e dos recursos de processamento da informação sejam identificadas.br 14 de 143 WWW. do contrato ou acordo Assegurar que a informação receba um nível adequado de proteção. após o encerramento de suas atividades.7 Gestão de ativos Identificar os ativos da organização e definir as devidas responsabilidades pela proteção dos ativos  Convém que os ativos associados à informação e aos recursos de processamento da informação sejam identificados. requisitos legais.com. de acordo com a sua importância para a organização  Convém que a informação seja classificada em termos do seu valor.estrategiaconcursos. e um inventário destes ativos seja estruturado e mantido  Convém que os ativos mantidos no inventário tenham um proprietário (que será o responsável pelo ativo durante o seu ciclo de vida)  Convém que regras para o uso aceitável das informações.

br 15 de 143 WWW. integridade.com. para possibilitar auditoria)  Convém que mídias contendo informações sejam protegidas contra acesso não autorizado. modificação. de acordo com o esquema de classificação adotado pela organização  Convém que as mídias sejam descartadas de forma segura. durante o transporte Prof. por meio de procedimentos formais (guarda e/ou destruição de forma segura e protegida. Victor Dalton www. com registro. interna. confidencial. disponibilidade e quaisquer outros requisitos. uso impróprio ou corrupção. (Exemplos de rótulos: pública.estrategiaconcursos. remoção ou destruição da informação armazenada nas mídias  Convém que existam procedimentos implementados para o gerenciamento de mídias removíveis. secreta)  Convém que procedimentos para o tratamento dos ativos sejam desenvolvidos e implementados de acordo com o esquema de classificação da informação adotado pela organização Prevenir a divulgação não autorizada. mas indica que deve ser criado um esquema consistente para toda a organização. e que esse nível de proteção seja baseado na confidencialidade. quando não forem mais necessárias.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03  Convém que um conjunto apropriado de procedimentos para rotular e tratar a informação seja desenvolvido e implementado de acordo com o esquema de classificação da informação adotado pela organização A norma não sugere um esquema de classificação dos ativos.CONCURSEIROSUNIDOS.ORG .

IDs compartilhados apenas por necessidades operacionais ou de negócios)  Convém que um processo formal de provisionamento de acesso do usuário seja implementado para conceder ou revogar os direitos de acesso do usuário para todos os Prof. Victor Dalton www. documentada e analisada criticamente. A política do controle de acesso deve ser orientada por dois princípios:  Necessidade de conhecer: permissão para acesso à informação porque precisa dela para desempenhar suas tarefas.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 2. filosofia do “tudo é proibido a menos que expressamente permitido”).  Necessidade de uso: permissão para acesso aos recursos de processamento da informação para desempenhar suas tarefas.estrategiaconcursos.com.CONCURSEIROSUNIDOS.  Convém que os usuários somente recebam acesso às redes e aos serviços de rede que tenham sido especificamente autorizados a usar Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas e serviços  Convém que um processo formal de registro e cancelamento de usuário seja implementado para permitir atribuição dos direitos de acesso (ID único de usuário. baseada nos requisitos de segurança da informação e dos negócios (considerando acessos lógico e físico.br 16 de 143 WWW.ORG .8 Controle de acesso Limitar o acesso à informação processamento da informação e aos recursos de  Convém que uma política de controle de acesso seja estabelecida.

remanejamento ou encerramento do contrato)  Convém que os direitos de acesso de todos os funcionários e partes externas às informações e aos recursos de processamento da informação sejam retirados logo após o encerramento de suas atividades.  não baseadas em nada que alguém facilmente possa adivinhar ou obter usando informações Prof.ORG .com. a intervalos regulares (e também depois de promoções.  Convém que os proprietários de ativos analisem criticamente os direitos de acesso dos usuários.CONCURSEIROSUNIDOS. responsabilizando o usuário quanto às implicações do uso indevido da senha).br 17 de 143 WWW. ou ajustados após a mudança destas atividades Tornar os usuários responsáveis pela proteção das suas informações de autenticação  Convém que os usuários sejam orientados a seguir as práticas da organização quanto ao uso da informação de autenticação secreta  senhas fáceis de lembrar. Victor Dalton www. contratos ou acordos. para que o usuário não fique utilizando um ID privilegiado para atividades rotineiras)  Convém que a concessão de informação de autenticação secreta seja controlada por meio de um processo de gerenciamento formal (declaração de confidencialidade.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 tipos de usuários em todos os tipos de sistemas e serviços  Convém que a concessão e o uso de direitos de acesso privilegiado sejam restritos e controlados (tais IDs devem ser diferentes dos IDs “comuns”.estrategiaconcursos.

caso a senha seja temporária.com. onde aplicável pela política de controle de acesso.ORG .Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03     relativas à pessoa. isentas de caracteres idênticos consecutivos. ela deve ser mudada no primeiro acesso(log-on). não mostra as senhas quando forem digitadas)  Convém que o uso de programas utilitários que podem ser capazes de sobrepor os controles dos sistemas e aplicações seja restrito e estritamente controlado  Convém que o acesso ao código-fonte de programa seja restrito Prof. não compartilhar a informação de senhas de usuários individuais. por exemplo. não consistir em palavras inclusas no dicionário). todos numéricos ou todos alfabéticos sucessivos. Prevenir o acesso não autorizado aos sistemas e aplicações  Convém que o acesso à informação e às funções dos sistemas de aplicações seja restrito.estrategiaconcursos. nomes. Victor Dalton www. não vulneráveis a ataque de dicionário (por exemplo. números de telefone e datas de aniversário. exijam mudança de senha no primeiro acesso e em intervalos regulares. o acesso aos sistemas e aplicações sejam controlados por um procedimento seguro de entrada no sistema (log-on)  Convém que sistemas para gerenciamento de senhas sejam interativos e assegurem senhas de qualidade (procedimentos que evitem erros. de acordo com a política de controle de acesso  Convém que.br 18 de 143 WWW.CONCURSEIROSUNIDOS.

Victor Dalton www. distribuição. Convém que uma política sobre o uso. autenticidade e/ou a integridade da informação   Convém que seja desenvolvida e implementada uma política sobre o uso de controles criptográficos para a proteção da informação (identificar o nível requerido de proteção dos dados. Controles criptográficos podem ser usados para alcançar diferentes objetivos de segurança da informação.estrategiaconcursos. recuperação.  não repúdio: usando técnicas de criptografia para obter evidência da ocorrência ou não ocorrência de um evento ou ação. por exemplo:  confidencialidade: usando a criptografia da informação para proteger informações sensíveis ou críticas.com. proteção e tempo de vida das chaves criptográficas seja desenvolvida e implementada ao longo de todo o seu ciclo de vida (geração.9 Criptografia Assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade. retirada e destruição das chaves) Prof. entidades e recursos. armazenadas ou transmitidas. armazenamento.  integridade/autenticidade: usando assinaturas digitais ou códigos de autenticação de mensagens (MAC) para verificar a autenticidade ou integridade de informações sensíveis ou críticas. como.  autenticação: usando técnicas criptográficas para autenticar usuários e outras camadas sistêmicas que requeiram acesso para transações com usuários de sistemas. papéis e responsáveis). arquivo.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 2.br 19 de 143 WWW. armazenadas ou transmitidas.CONCURSEIROSUNIDOS.ORG .

com.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 2.ORG . auditoria eletrônica. uso de identificação visível por funcionários e outros .10 Segurança Física e do Ambiente Prevenir o acesso físico não autorizado. salas e instalações (evitar acesso do público. Victor Dalton www.br 20 de 143 WWW. sistemas de detecção de intrusos)  Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso permitido (registros de data/hora de entrada/saída.estrategiaconcursos.CONCURSEIROSUNIDOS.crachás)  Convém que seja projetada e aplicada segurança física para escritórios. não permitir a utilização de equipamentos de gravação)  Convém que pontos de acesso. instalações discretas com a menor identificação possível de sua finalidade)  Convém que seja projetada e aplicada proteção física contra desastres naturais. como áreas de entrega e de carregamento e outros pontos em que pessoas não Prof. alarmes. danos e interferências com os recursos de processamento das informações e nas informações da organização  Convém que perímetros de segurança sejam definidos e usados para proteger tanto as instalações de processamento da informação como as áreas que contenham informações críticas ou sensíveis (barreiras físicas onde aplicável. ataques maliciosos ou acidentes  Convém que sejam projetados e aplicados procedimentos para o trabalho em áreas seguras (ex: áreas não ocupadas devem ser trancadas e verificadas periodicamente.

bem como as oportunidades de acesso não autorizado  Convém que os equipamentos sejam protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das utilidades (suprimento de energia elétrica. informações ou software não sejam retirados do local sem autorização prévia Prof. ou comprometimento de ativos e interrupção das operações da organização  Convém que os equipamentos sejam protegidos e colocados em locais para reduzir os riscos de ameaças e perigos do meio ambiente. cabeamento blindado em sistemas sensíveis ou críticos)  Convém que os equipamentos tenham uma manutenção correta para assegurar a sua contínua integridade e disponibilidade  Convém que equipamentos. gás.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 autorizadas possam entrar nas instalações. interferência ou danos (cabeamento preferencialmente subterrâneo. sejam controlados e. Victor Dalton www. furto.com.estrategiaconcursos.br 21 de 143 WWW. cabeamento de energia segregado do cabeamento de comunicações para evitar interferência. ou proteção alternativa adequada. isolados das instalações de processamento da informação. para evitar o acesso não autorizado Impedir perdas. esgoto. calefação/ventilação e ar-condicionado)  Convém que o cabeamento de energia e de telecomunicações que transporta dado ou dá suporte aos serviços de informações seja protegido contra interceptação. suprimento de água. danos.ORG .CONCURSEIROSUNIDOS. telecomunicações. se possível.

controles de acesso a computadores. Victor Dalton www.br 22 de 143 WWW.CONCURSEIROSUNIDOS. para assegurar que todos os dados sensíveis e software licenciados tenham sido removidos ou sobregravados com segurança  Convém que os usuários assegurem que os equipamentos não monitorados tenham proteção adequada (encerrar as sessões ativas.ORG .com. token ou mecanismo de autenticação similar quando não usados. levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização (controles adequados. Considerar o uso de impressoras com código PIN. armários ou outros para papéis e mídias sensíveis. para que apenas os requerentes possam pegar suas impressões) Prof. desconectar dos serviços de rede ou usar tela de bloqueio. ex: política de mesa limpa. quando os equipamentos não estiverem em uso)  Convém que sejam adotadas uma política de mesa limpa para papéis e mídias de armazenamento removíveis e uma política de tela limpa para os recursos de processamento da informação (cofres.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03  Convém que sejam tomadas medidas de segurança para ativos que operem fora do local. comunicação segura com o escritório)  Convém que todos os equipamentos que contenham mídias de armazenamento de dados sejam examinados antes da reutilização. bloqueio de computadores com senha.estrategiaconcursos. remover documentos sensíveis imediatamente de impressoras. evitar uso não autorizado de fotocopiadoras.

e outros)  Convém que mudanças na organização.ORG . Victor Dalton www. nos processos do negócio.CONCURSEIROSUNIDOS. nos recursos de processamento da informação e nos sistemas que afetam a segurança da informação. dados sensíveis não devem ser copiados para ambientes de teste sem o devido controle) Assegurar que as informações e os recursos de processamento da informação estão protegidos contra malware Prof. teste e produção sejam separados para reduzir os riscos de acessos ou modificações não autorizadas no ambiente de produção (softwares executados em diferentes sistemas.11 Segurança nas Operações Garantir a operação segura processamento da informação e correta dos recursos de  Convém que os procedimentos de operação sejam documentados e disponibilizados para todos os usuários que necessitem deles (instalação e configuração de sistemas. usuários com perfis diferentes para cada ambiente.br 23 de 143 WWW. sejam controladas (gestão de mudanças formal)  Convém que a utilização dos recursos seja monitorada e ajustada.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 2. e que as projeções sejam feitas para necessidades de capacidade futura para garantir o desempenho requerido do sistema (gestão de capacidade)  Convém que ambientes de desenvolvimento. cópias de segurança.estrategiaconcursos. procedimentos em caso de falha do sistema.com.

por exemplo) que reflita os requisitos de negócio da organização) Registrar eventos e gerar evidências  Convém que registros (log) de eventos das atividades do usuário. dentre outros) Proteger contra a perda de dados  Convém que cópias de segurança das informações. dos software e das imagens do sistema sejam efetuadas e testadas regularmente conforme a política de geração de cópias de segurança definida (convém que as cópias de segurança sejam armazenadas em uma localidade remota. Victor Dalton www.estrategiaconcursos. política de backup (completa ou diferencial. a uma distância suficiente para escapar dos danos de um desastre ocorrido no local principal. exceções. combinados com um adequado programa de conscientização do usuário (proibir software não autorizado.CONCURSEIROSUNIDOS.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03  Convém que sejam implementados controles de detecção.br 24 de 143 WWW. a intervalos regulares  Convém que as informações dos registros de eventos (log) e os seus recursos sejam protegidos contra acesso não autorizado e adulteração Prof.com. falhas e eventos de segurança da informação sejam produzidos.ORG . prevenir ou detectar websites maliciosos. proteção física e ambiental apropriada para as instalações das cópias de segurança. prevenção e recuperação para proteger contra malware. mantidos e analisados criticamente. instalar e utilizar periodicamente software de remoção de malware.

estrategiaconcursos. dentro da organização ou do domínio de segurança.CONCURSEIROSUNIDOS. sejam sincronizados com uma única fonte de tempo precisa Assegurar a integridade dos sistemas operacionais  Convém que procedimentos para controlar a instalação de software em sistemas operacionais sejam implementados (implementação somente após testes exaustivos. arquivamento de versões antigas e outros) Prevenir a exploração de vulnerabilidades técnicas  Convém que informações sobre vulnerabilidades técnicas dos sistemas de informação em uso sejam obtidas em tempo hábil.com.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03  Convém que as atividades dos administradores e operadores do sistema sejam registradas e os registros (logs) protegidos e analisados criticamente.br 25 de 143 WWW. convém que a exposição da organização a estas vulnerabilidades seja avaliada e que sejam tomadas as medidas apropriadas para lidar com os riscos associados  Convém que sejam estabelecidas e implementadas regras definindo critérios para a instalação de software pelos usuários (princípio do privilégio mínimo) Prof.ORG . estratégia de retorno às condições anteriores. a intervalos regulares  Convém que os relógios de todos os sistemas de processamento de informações relevantes. Victor Dalton www.

tanto para serviços de rede providos internamente como para terceirizados  Convém que grupos de serviços de informação.ORG . usuários e sistemas de informação sejam segregados em redes (tratar redes wireless como conexões externas. Victor Dalton www. com políticas mais restritivas) Manter a segurança da informação transferida dentro da organização e com quaisquer entidades externas Prof.com.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Minimizar o impacto das atividades de auditoria nos sistemas operacionais  Convém que as atividades e requisitos de auditoria envolvendo a verificação nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar interrupção dos processos do negócio 2. níveis de serviço e requisitos de gerenciamento de todos os serviços de rede sejam identificados e incluídos em qualquer acordo de serviços de rede.br 26 de 143 WWW.12 Segurança nas Comunicações Assegurar a proteção das informações em redes e dos recursos de processamento da informação que as apoiam  Convém que as redes sejam gerenciadas e controladas para proteger as ¡informações nos sistemas e aplicações (responsabilidades e procedimentos.estrategiaconcursos. dentre outros)  Convém que mecanismos de segurança.CONCURSEIROSUNIDOS.

Desenvolvimento e Manutenção de Sistemas Garantir que a segurança da informação seja parte integrante de todo o ciclo de vida dos sistemas de informação.ORG . Victor Dalton www.br 27 de 143 WWW.CONCURSEIROSUNIDOS.com.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03  Convém que políticas. analisados criticamente e documentados (acordos de confidencialidade e não-divulgação) 2.estrategiaconcursos. Isto também inclui os requisitos para sistemas de informação que fornecem serviços sobre as redes públicas  Convém que os requisitos relacionados à segurança da informação sejam incluídos nos requisitos para novos sistemas de informação ou melhorias dos sistemas de informação existentes  Convém que as informações envolvidas nos serviços de aplicação que transitam sobre redes públicas sejam Prof.13 Aquisição. procedimentos e controles de transferências formais sejam estabelecidos para proteger a transferência de informações. por meio do uso de todos os tipos de recursos de comunicação  Convém que sejam estabelecidos acordos para transferência segura de informações do negócio entre a organização e as partes externas  Convém que as informações que trafegam em eletrônicas sejam adequadamente mensagens protegidas  Convém que os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação sejam identificados.

Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 protegidas de atividades fraudulentas.CONCURSEIROSUNIDOS. trilha de auditoria e outros)  Quando plataformas operacionais forem modificadas. erros de roteamento. Victor Dalton www. banco de dados e plataformas intermediárias) Prof.ORG . convém que as aplicações críticas de negócio sejam analisadas criticamente e testadas para garantir que não haverá qualquer impacto adverso na operação da organização ou na segurança (plataformas operacionais incluem sistemas operacionais. alteração não autorizada da mensagem.estrategiaconcursos. duplicação ou reapresentação da mensagem não autorizada (caminho criptografado entre as partes envolvidas. disputas contratuais e divulgação e modificações não autorizadas  Convém que informações envolvidas em transações nos aplicativos de serviços sejam protegidas para prevenir transmissões incompletas. assinaturas eletrônicas para as partes envolvidas nas transações. controle de versão. dentre outros) Garantir que a segurança da informação esteja projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informação  Convém que regras para o desenvolvimento de sistemas e software sejam estabelecidas e aplicadas aos desenvolvimentos realizados dentro da organização (política de desenvolvimento seguro)  Convém que as mudanças em sistemas no ciclo de vida de desenvolvimento sejam controladas utilizando procedimentos formais de controle de mudanças (obtenção de aprovação formal.com. divulgação não autorizada.br 28 de 143 WWW.

baseados nos princípios da engenharia de segurança. para os esforços de integração e desenvolvimento de sistemas.CONCURSEIROSUNIDOS. e outros)  Convém que os testes das funcionalidades de segurança sejam realizados durante o desenvolvimento de sistemas Prof.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03  Convém que modificações em pacotes de software sejam desencorajadas e estejam limitadas às mudanças necessárias. documentados.estrategiaconcursos. Victor Dalton www.ORG .com. Os princípios e os procedimentos de engenharia estabelecidos sejam analisados criticamente a intervalos regulares)  Convém que as organizações estabeleçam e protejam adequadamente ambientes seguras de desenvolvimento. mantidos e aplicados para qualquer implementação de sistemas de informação (procedimentos para projetar sistemas de informação seguras. dados. sejam estabelecidos. para evitar o risco que controles e processos de integridade embutidos no software sejam comprometidos)  Convém que princípios para projetar sistemas seguros sejam estabelecidos. os pacotes de software providos pelos fornecedores sejam utilizados sem modificações. Convém que a segurança seja projetada em todas as camadas da arquitetura (negócios. documentadas e aplicadas nas atividades internas de engenharia de sistemas de informação da organização. e todas as mudanças sejam estritamente controladas (quando possível e praticável. novas tecnologias devem ser analisadas quanto aos riscos de segurança. propriedade do código.br 29 de 143 WWW. aplicações e tecnologia). que cubram todo o ciclo de vida de desenvolvimento de sistema  Convém que a organização supervisione e monitore as atividades de desenvolvimento de sistemas terceirizado (acordos de licença. testes de aceitação.

comunicar ou prover componentes de infraestrutura de TI para as informações da organização  Convém que acordos com fornecedores incluam requisitos para contemplar os riscos de segurança da informação associados à cadeia de suprimento de produtos e serviços de tecnologia da informação e comunicação Prof.14 Relacionamento na Cadeia de Suprimento Garantir a proteção dos ativos da organização que são acessados pelos fornecedores  Convém que os requisitos de segurança da informação para mitigar os riscos associados com o acesso dos fornecedores aos ativos da organização sejam acordados com o fornecedor e documentados  Convém que todos os requisitos de segurança da informação relevantes sejam estabelecidos e acordados com cada fornecedor que possa acessar.estrategiaconcursos. processar. atualizações e novas versões Assegurar a proteção dos dados usados para teste  Convém que os dados de teste sejam selecionados com cuidado. Victor Dalton www. armazenar. protegidos e controlados (evitar dados pessoais.CONCURSEIROSUNIDOS.ORG .Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03  Convém que programas de testes de aceitação e critérios relacionados sejam estabelecidos para novos sistemas de informação.br 30 de 143 WWW.com. informação confidencial) 2.

o mais rapidamente possível (gestão de eventos) Prof. analisem criticamente e auditem. dos sistemas e processos envolvidos. incluindo a comunicação sobre fragilidades e eventos de segurança da informação  Convém que responsabilidades e procedimentos de gestão sejam estabelecidos para assegurar respostas rápidas.estrategiaconcursos.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Manter um nível acordado de segurança da informação e de entrega de serviços em consonância com os acordos com os fornecedores  Convém que as organizações monitorem.15 Gestão de Incidentes de segurança da informação Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurança da informação. a intervalos regulares. e a reavaliação de riscos 2. incluindo manutenção e melhoria das políticas de segurança da informação. a entrega dos serviços executados pelos fornecedores  Convém que mudanças no provisionamento dos serviços pelos fornecedores. levando-se em conta a criticidade das informações do negócio.br 31 de 143 WWW. efetivas e ordenadas aos incidentes de segurança da informação (gestão de incidentes)  Convém que os eventos de segurança da informação sejam relatados por meio dos canais de gestão. Victor Dalton www. dos procedimentos e controles existentes.ORG .CONCURSEIROSUNIDOS.com. sejam gerenciadas.

br 32 de 143 WWW.estrategiaconcursos.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03  Convém que os funcionários e partes externas que usam os sistemas e serviços de informação da organização sejam instruídos a notificar e registrar quaisquer fragilidades de segurança da informação.ORG . coleta. as quais podem servir como evidências (incluindo evidências forenses) Prof. Victor Dalton www.com. aquisição e preservação das informações. observada ou suspeita. nos sistemas ou serviços  Convém que os eventos de segurança da informação sejam avaliados e seja decidido se eles são classificados como incidentes de segurança da informação (gestão de eventos)  Convém que incidentes de segurança da informação sejam reportados de acordo com procedimentos documentados (gestão de incidentes)  Convém que os conhecimentos obtidos da análise e resolução dos incidentes de segurança da informação sejam usados para reduzir a probabilidade ou o impacto de incidentes futuros (gestão de incidentes – lições aprendidas)  Convém que a organização defina e aplique procedimentos para a identificação.CONCURSEIROSUNIDOS.

ORG . durante uma situação adversa (instalação e configuração de sistemas. procedimentos em caso de falha do sistema. durante uma crise ou desastre (a organização deve avaliar se a continuidade da segurança da informação está contida dentro do processo de gestão da continuidade do negócio ou no processo de gestão de recuperação de desastre. implemente e mantenha processos. convém que a gestão da segurança da informação assuma que os requisitos de segurança da informação permanecem os mesmos. uma organização pode realizar uma análise de impacto do negócio (BIA) relativa aos aspectos de segurança da informação.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 2.com. e outros)  Convém que a organização verifique os controles de continuidade da segurança da informação. Na ausência de um planejamento formal de continuidade do negócio e de recuperação de desastre. cópias de segurança. em situações adversas. Alternativamente. documente. por exemplo. Requisitos de segurança da informação podem ser determinados quando do planejamento da continuidade do negócio e da recuperação de desastre).estrategiaconcursos. procedimentos e controles para assegurar o nível requerido de continuidade para a segurança da informação.CONCURSEIROSUNIDOS. para determinar os requisitos de segurança da informação que são aplicáveis nas situações adversas.  Convém que a organização estabeleça. Victor Dalton www. comparadas com as condições de operação normal.br 33 de 143 WWW.16 Aspectos da segurança da informação na Gestão da Continuidade do Negócio Convém que a continuidade da segurança da informação seja contemplada nos sistemas de gestão da continuidade do negócio da organização  Convém que a organização determine seus requisitos para a segurança da informação e a continuidade da gestão da segurança da informação em situações adversas. estabelecidos Prof.

br 34 de 143 WWW. a intervalos regulares. regulamentares e contratuais relacionados aos direitos de propriedade intelectual. regulamentares ou contratuais relacionadas à segurança da informação e de quaisquer requisitos de segurança  Convém que todos os requisitos legislativos estatutários.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 e implementados. destruição. estatutárias.ORG . documentados e mantidos atualizados para cada sistema de informação da organização  Convém que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos.estrategiaconcursos.CONCURSEIROSUNIDOS.17 Conformidade Evitar violação de quaisquer obrigações legais. regulamentares e contratuais pertinentes e o enfoque da organização para atender a esses requisitos sejam explicitamente identificados.com. Victor Dalton www. para garantir que eles sejam válidos e eficazes em situações adversas Assegurar a disponibilidade dos recursos de processamento da informação (redundâncias)  Convém que os recursos de processamento da informação sejam implementados com redundância suficiente para atender aos requisitos de disponibilidade 2. falsificação. e sobre o uso de produtos de software proprietários (não à PIRATARIA!)  Convém que registros sejam protegidos contra perda. acesso não autorizado e Prof.

a intervalos regulares. acordos. com funções criptográficas embutidas ou mesmo no uso da criptografia) Assegurar que a segurança da informação esteja implementada e operada de acordo com as políticas e procedimentos da organização  Convém que o enfoque da organização para gerenciar a segurança da informação e a sua implementação (por exemplo. Victor Dalton www. controles. com as normas e políticas de segurança e quaisquer outros requisitos de segurança da informação Prof.estrategiaconcursos. de acordo com os requisitos regulamentares. legislação e regulamentações pertinentes (restrições à importação e/ou exportação de hardware e software de computador para execução de funções criptográficas.br 35 de 143 WWW. de forma independente.CONCURSEIROSUNIDOS.com. a conformidade dos procedimentos e do processamento da informação. políticas. dentro das suas áreas de responsabilidade.ORG .Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 liberação não autorizada. quando aplicável  Convém que controles de criptografia sejam usados em conformidade com todas as leis. processos e procedimentos para a segurança da informação) seja analisado criticamente. objetivo dos controles. estatutários. ou quando ocorrerem mudanças significativas (convém que seja iniciada pela Direção)  Convém que os gestores analisem criticamente. contratuais e do negócio  Convém que a privacidade e a proteção das informações de identificação pessoal sejam asseguradas conforme requerido por legislação e regulamentação pertinente. a intervalos planejados.

Logo. todos os controles da ISO 27002. sentenças que fazem (ou não fazem) sentido estar na norma.br 36 de 143 WWW. ao deparar-se com os exercícios.18 Análise final Pois bem. Se servir de ajuda para os seus estudos. acredito que você conseguiu capturar o “espírito” da norma. recomendo a visualização da mesma pelo menos uma vez.. de forma resumida. acabamos de ver. o que fará que você consiga acertar questões sobre o assunto. A norma completa possui 99 páginas.CONCURSEIROSUNIDOS. objetivos e controle e controle. Victor Dalton www. a intervalos regulares. você será capaz de enxergar.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03  Convém que os sistemas de informação sejam analisados criticamente. nas alternativas. detalhando esses e outros procedimentos importantes. A seguir. para melhor entendimento. ficarei feliz em ter colaborado. colocarei em uma tabela as seções.com.estrategiaconcursos.. para verificar a conformidade com as normas e políticas de segurança da informação da organização 2. Entretanto. De qualquer forma. Victor Dalton Prof.ORG .

estrategiaconcursos. independentemente do tipo do projeto Convém que uma política e medidas que apoiam a segurança da informação sejam adotadas para gerenciar os riscos decorrentes do uso de dispositivos móveis Garantir a segurança das informações no trabalho remoto e no uso de dispositivos móveis Convém que uma política e medidas que apoiam a segurança da informação sejam implementadas para proteger as informações acessadas.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 SEÇÃO OBJETIVOS DE CONTROLE CONTROLES Políticas de Segurança da Informação Prover orientação da Direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes Convém que um conjunto de políticas de segurança da informação seja definido.CONCURSEIROSUNIDOS. Victor Dalton www. para assegurar a sua contínua pertinência. adequação e eficácia Convém que funções conflitantes e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de modificação não autorizada ou não intencional. regulamentações e leis Humanos externas entendem as relevantes. aos riscos percebidos e à classificação suas responsabilidade das informações a serem acessadas e estão em Prof.br 37 de 143 WWW. em Recursos funcionários e partes de acordo com a ética. ou uso indevido dos ativos da organização Convém que contatos apropriados autoridades relevantes sejam mantidos com as Convém que contatos apropriados com grupos especiais. aprovado pela direção. associações profissionais ou outros fóruns especializados em segurança da informação sejam mantidos Convém que a segurança da informação seja considerada no gerenciamento de projetos.ORG . e seja proporcional aos requisitos do negócio. publicado e comunicado para todos os funcionários e partes externas envolvidas Estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementação e operação da segurança da informação dentro da organização Convém que todas as responsabilidades pela segurança da informação sejam definidas e atribuídas Orientação da Direção para Segurança da Informação Convém que as políticas de segurança da informação sejam analisadas criticamente a intervalos planejados ou quando mudanças significativas ocorrerem. processadas ou armazenadas em locais de trabalho remoto Antes da contratação Convém que verificações do histórico sejam Segurança Assegurar que realizadas para todos os candidatos a emprego.com.

comunicadas aos funcionários ou partes externas e cumpridas Convém que os ativos associados à informação e aos recursos de processamento da informação sejam identificados. dos ativos associados com a informação e dos recursos de processamento da informação sejam identificadas. para funcionários. para tornar ações contra funcionários que tenham cometido uma violação de segurança da informação Convém que as responsabilidades e obrigações pela segurança da informação que permaneçam válidas após um encerramento ou mudança da contratação sejam definidas. e as atualizações regulares das políticas e procedimentos organizacionais relevantes para as suas funções Convém que exista um processo disciplinar formal.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 conformidade com os papeis para os quais eles foram selecionados Durante a contratação Assegurar que os funcionários e partes externas estão conscientes e cumprem as suas responsabilidades pela segurança da informação Gestão ativos Encerramento e mudança da contratação – Proteger os interesses da organização como parte do processo de mudança ou encerramento da contratação de Identificar os ativos da organização e definir as devidas responsabilidades pela proteção dos ativos Convém que as obrigações contratuais com funcionários e partes externas reflitam as políticas para segurança da informação da organização. e um inventário destes ativos seja estruturado e mantido Convém que os ativos mantidos no inventário tenham um proprietário Convém que regras para o uso aceitável das informações. onde pertinente.CONCURSEIROSUNIDOS. documentadas e Prof. Convém que a Direção solicite a todos os funcionários e partes externas que pratiquem a segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização Convém que todos os funcionários da organização e. Victor Dalton www. implantado e comunicado. esclarecendo e declarando.e b) Responsabilidades pela classificação da informação e pelo gerenciamento dos ativos da organização. fornecedores e partes externas. dentre outros: a) Termo de confidencialidade ou de não divulgação. partes externas recebam treinamento.br 38 de 143 WWW.com.ORG . educação e conscientização apropriados.estrategiaconcursos.

Victor Dalton www.CONCURSEIROSUNIDOS. uso impróprio ou corrupção. remoção ou destruição da informação Convém que as mídias sejam descartadas de armazenada nas forma segura.estrategiaconcursos. de acordo com a sua Convém que um conjunto apropriado de importância para a procedimentos para rotular e tratar a informação organização seja desenvolvido e implementado de acordo com o esquema de classificação adotado pela organização da informação Convém que procedimentos para o tratamento dos ativos sejam desenvolvidos e implementados de acordo com o esquema de classificação da informação adotado pela organização Convém que existam procedimentos implementados para o gerenciamento de mídias removíveis. após o encerramento de suas atividades.br 39 de 143 WWW. por meio de procedimentos formais Controle acesso de Limitar Convém que mídias contendo informações sejam protegidas contra acesso não autorizado.ORG . sensibilidade e criticidade para evitar modificação ou divulgação não autorizada Assegurar que a informação receba um nível adequado de proteção. quando não forem mais mídias necessárias. do contrato ou acordo Convém que a informação seja classificada em termos do seu valor. durante o transporte Convém que uma política de controle de acesso seja estabelecida. documentada e analisada criticamente. modificação. requisitos legais. de acordo com o esquema de classificação adotado pela organização Prevenir a divulgação não autorizada. baseada nos requisitos de segurança da informação e dos negócios o acesso à informação e aos recursos de processamento da informação Convém que os usuários somente recebam acesso às redes e aos serviços de rede que tenham sido especificamente autorizados a usar Convém que um processo formal de registro e cancelamento de usuário seja implementado para permitir atribuição dos direitos de acesso Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas Convém que e serviços provisionamento um processo formal de de acesso do usuário seja implementado para conceder ou revogar os direitos de acesso do usuário para todos os tipos de usuários em todos os tipos de sistemas e Prof.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 implementadas Convém que todos os funcionários e partes externas devolvam todos os ativos da organização que estejam em sua posse.com.

a intervalos regulares Convém que os direitos de acesso de todos os funcionários e partes externas às informações e aos recursos de processamento da informação sejam retirados logo após o encerramento de suas atividades.CONCURSEIROSUNIDOS. Victor Dalton www. ou ajustados após a mudança destas atividades Convém que os usuários sejam orientados a seguir as práticas da organização quanto ao uso da informação de autenticação secreta Tornar os usuários responsáveis pela proteção das suas informações de autenticação Prevenir o acesso não Convém que o acesso à informação e às funções autorizado aos dos sistemas de aplicações seja restrito. de sistemas e aplicações acordo com a política de controle de acesso Convém que. contratos ou acordos. onde aplicável pela política de controle de acesso.estrategiaconcursos.com.br 40 de 143 WWW. o acesso aos sistemas e aplicações sejam controlados por um procedimento seguro de entrada no sistema (logon) Convém que sistemas para gerenciamento de senhas sejam interativos e assegurem senhas de qualidade Convém que o uso de programas utilitários que podem ser capazes de sobrepor os controles dos sistemas e aplicações seja restrito e estritamente controlado Convém que o acesso programa seja restrito Criptografia ao código-fonte de Assegurar o uso Convém que seja desenvolvida e implementada efetivo e adequado da uma política sobre o uso de controles criptografia para criptográficos para a proteção da informação proteger a Prof.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 serviços Convém que a concessão e o uso de direitos de acesso privilegiado sejam restritos e controlados Convém que a concessão de informação de autenticação secreta seja controlada por meio de um processo de gerenciamento formal Convém que os proprietários de ativos analisem criticamente os direitos de acesso dos usuários.ORG .

sejam controlados e.ORG . informações ou software não sejam retirados do local sem autorização prévia Prof. bem como as oportunidades de acesso não autorizado Convém que os equipamentos sejam protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das utilidades Convém que o cabeamento de energia e de telecomunicações que transporta dado ou dá suporte aos serviços de informações seja protegido contra interceptação.CONCURSEIROSUNIDOS. autenticidade e/ou a integridade da informação Convém que uma política sobre o uso. ou comprometimento de ativos e interrupção das operações da organização Convém que pontos de acesso. danos. Victor Dalton www. para evitar o acesso não autorizado Convém que os equipamentos sejam protegidos e colocados em locais para reduzir os riscos de ameaças e perigos do meio ambiente. como áreas de entrega e de carregamento e outros pontos em que pessoas não autorizadas possam entrar nas instalações. proteção e tempo de vida das chaves criptográficas seja desenvolvida e implementada ao longo de todo o seu ciclo de vida Prevenir o acesso Convém que perímetros de segurança sejam Segurança Física e do físico não autorizado. furto. se possível. salas e instalações Convém que seja projetada e aplicada proteção física contra desastres naturais.com. ataques maliciosos ou acidentes Convém que sejam projetados e aplicados procedimentos para o trabalho em áreas seguras Impedir perdas. isolados das instalações de processamento da informação.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 confidencialidade. definidos e usados para proteger tanto as danos e interferências instalações de processamento da informação Ambiente com os recursos de processamento das informações e nas informações da organização como as áreas que críticas ou sensíveis contenham informações Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso permitido Convém que seja projetada e aplicada segurança física para escritórios.estrategiaconcursos. interferência ou danos Convém que os equipamentos tenham uma manutenção correta para assegurar a sua contínua integridade e disponibilidade Convém que equipamentos.br 41 de 143 WWW.

nos processos do negócio. Victor Dalton www. sejam controladas Convém que a utilização dos recursos seja monitorada e ajustada.com.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Convém que sejam tomadas medidas de segurança para ativos que operem fora do local.CONCURSEIROSUNIDOS. teste e produção sejam separados para reduzir os riscos de acessos ou modificações não autorizadas no ambiente de produção Assegurar que as informações e os recursos de processamento da informação estão protegidos contra malware Proteger contra a Convém que sejam implementados controles de detecção.estrategiaconcursos. e que as projeções sejam feitas para necessidades de capacidade futura para garantir o desempenho requerido do sistema Convém que ambientes de desenvolvimento. nos recursos de processamento da informação e nos sistemas que afetam a segurança da informação. dos software e das imagens do Prof. para assegurar que todos os dados sensíveis e software licenciados tenham sido removidos ou sobregravados com segurança Convém que os usuários assegurem que os equipamentos não monitorados tenham proteção adequada Convém que sejam adotadas uma política de mesa limpa para papéis e mídias de armazenamento removíveis e uma política de tela limpa para os recursos de processamento da informação Segurança nas Operações Garantir a operação segura e correta dos recursos de processamento da informação Convém que os procedimentos de operação sejam documentados e disponibilizados para todos os usuários que necessitem deles Convém que mudanças na organização. prevenção e recuperação para proteger contra malware. levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização Convém que todos os equipamentos que contenham mídias de armazenamento de dados sejam examinados antes da reutilização. combinados com um adequado programa de conscientização do usuário Convém que cópias de segurança das informações.br 42 de 143 WWW.ORG .

Victor Dalton www.br 43 de 143 WWW. dentro da organização ou do domínio de segurança. a intervalos regulares Convém que os relógios de todos os sistemas de processamento de informações relevantes. exceções. mantidos e analisados criticamente.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 sistema sejam efetuadas e testadas regularmente conforme a política de geração de cópias de segurança definida perda de dados Registrar eventos gerar evidências e Convém que registros (log) de eventos das atividades do usuário. convém que a técnicas exposição da organização a estas vulnerabilidades seja avaliada e que sejam tomadas as medidas apropriadas para lidar com os riscos associados Convém que sejam estabelecidas e implementadas regras definindo critérios para a instalação de software pelos usuários Minimizar o impacto das atividades de auditoria nos sistemas operacionais Segurança nas Assegurar proteção Convém que as atividades e requisitos de auditoria envolvendo a verificação nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar interrupção dos processos do negócio a Convém que as redes sejam gerenciadas e das controladas para proteger as ¡informações nos Prof. falhas e eventos de segurança da informação sejam produzidos.ORG .estrategiaconcursos. sejam sincronizados com uma única fonte de tempo precisa Assegurar a Convém que procedimentos para controlar a integridade dos instalação de software em sistemas operacionais sistemas operacionais sejam implementados Prevenir a exploração Convém que informações sobre vulnerabilidades de vulnerabilidades técnicas dos sistemas de informação em uso sejam obtidas em tempo hábil.CONCURSEIROSUNIDOS. a intervalos regulares Convém que as informações dos registros de eventos (log) e os seus recursos sejam protegidos contra acesso não autorizado e adulteração Convém que as atividades dos administradores e operadores do sistema sejam registradas e os registros (logs) protegidos e analisados criticamente.com.

procedimentos e controles de transferências formais sejam estabelecidos para proteger a transferência de informações.br 44 de 143 WWW.CONCURSEIROSUNIDOS. Isto também inclui os requisitos para sistemas de informação que fornecem serviços sobre as redes públicas Convém que os requisitos relacionados à segurança da informação sejam incluídos nos requisitos para novos sistemas de informação ou melhorias dos sistemas de informação existentes Convém que as informações envolvidas nos serviços de aplicação que transitam sobre redes públicas sejam protegidas de atividades fraudulentas. analisados criticamente e documentados Aquisição. disputas contratuais e divulgação e modificações não autorizadas Convém que informações envolvidas em transações nos aplicativos de serviços sejam protegidas para prevenir transmissões incompletas.ORG . Victor Dalton www. níveis de serviço e requisitos de gerenciamento de todos os serviços de rede sejam identificados e incluídos em qualquer acordo de serviços de rede. tanto para serviços de rede providos internamente como para terceirizados Convém que grupos de serviços de informação. alteração não autorizada da mensagem.com. duplicação ou reapresentação da Prof.estrategiaconcursos. divulgação não autorizada. por meio do uso de todos os tipos de recursos de comunicação Convém que sejam estabelecidos acordos para transferência segura de informações do negócio entre a organização e as partes externas Convém que as informações que trafegam em mensagens eletrônicas sejam adequadamente protegidas Convém que os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação sejam identificados. Desenvolvim ento e Manutenção de Sistemas Garantir que a segurança da informação seja parte integrante de todo o ciclo de vida dos sistemas de informação. erros de roteamento. usuários e sistemas de informação sejam segregados em redes Manter a segurança da informação transferida dentro da organização e com quaisquer entidades externas Convém que políticas.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 informações em redes e dos recursos de processamento da informação que as apoiam Comunicaçõ es sistemas e aplicações Convém que mecanismos de segurança.

e todas as mudanças sejam estritamente controladas Convém que princípios para projetar sistemas seguros sejam estabelecidos.br 45 de 143 WWW. que cubram todo o ciclo de vida de desenvolvimento de sistema Convém que a organização supervisione e monitore as atividades de desenvolvimento de sistemas terceirizado Convém que os testes das funcionalidades de segurança sejam realizados durante o desenvolvimento de sistemas Convém que programas de testes de aceitação e critérios relacionados sejam estabelecidos para novos sistemas de informação. convém que as aplicações críticas de negócio sejam analisadas criticamente e testadas para garantir que não haverá qualquer impacto adverso na operação da organização ou na segurança Convém que modificações em pacotes de software sejam desencorajadas e estejam limitadas às mudanças necessárias. Victor Dalton www. atualizações e novas versões Prof. para os esforços de integração e desenvolvimento de sistemas.com.CONCURSEIROSUNIDOS. documentados.estrategiaconcursos.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 mensagem não autorizada Garantir que a segurança da informação esteja projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informação Convém que regras para o desenvolvimento de sistemas e software sejam estabelecidas e aplicadas aos desenvolvimentos realizados dentro da organização Convém que as mudanças em sistemas no ciclo de vida de desenvolvimento sejam controladas utilizando procedimentos formais de controle de mudanças Quando plataformas operacionais forem modificadas.ORG . mantidos e aplicados para qualquer implementação de sistemas de informação Convém que as organizações estabeleçam e protejam adequadamente ambientes seguras de desenvolvimento.

CONCURSEIROSUNIDOS. Victor Dalton www. nos sistemas Prof. dos sistemas e processos envolvidos.com. incluindo manutenção e melhoria das políticas de segurança da informação. incluindo a comunicação sobre fragilidades e eventos de segurança da informação dados de teste sejam cuidado. analisem criticamente e auditem. comunicar ou prover componentes de infraestrutura de TI para as informações da organização Convém que acordos com fornecedores incluam requisitos para contemplar os riscos de segurança da informação associados à cadeia de suprimento de produtos e serviços de tecnologia da informação e comunicação Convém que as organizações monitorem. sejam gerenciadas. armazenar.ORG . o mais rapidamente possível Convém que os funcionários e partes externas que usam os sistemas e serviços de informação da organização sejam instruídos a notificar e registrar quaisquer fragilidades de segurança da informação.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Assegurar a proteção Convém que os com dos dados usados selecionados controlados para teste Relacioname nto na Cadeia de Suprimento Garantir a proteção dos ativos da organização que são acessados pelos fornecedores Manter um nível acordado de segurança da informação e de entrega de serviços em consonância com os acordos com os fornecedores Gestão de Incidentes de segurança da informação Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurança da informação. efetivas e ordenadas aos incidentes de segurança da informação Convém que os eventos de segurança da informação sejam relatados por meio dos canais de gestão. processar.estrategiaconcursos. a intervalos regulares. levandose em conta a criticidade das informações do negócio. observada ou suspeita. e a reavaliação de riscos Convém que responsabilidades e procedimentos de gestão sejam estabelecidos para assegurar respostas rápidas. protegidos e Convém que os requisitos de segurança da informação para mitigar os riscos associados com o acesso dos fornecedores aos ativos da organização sejam acordados com o fornecedor e documentados Convém que todos os requisitos de segurança da informação relevantes sejam estabelecidos e acordados com cada fornecedor que possa acessar. dos procedimentos e controles existentes.br 46 de 143 WWW. a entrega dos serviços executados pelos fornecedores Convém que mudanças no provisionamento dos serviços pelos fornecedores.

ORG . estabelecidos e implementados.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 ou serviços Convém que os eventos de segurança da informação sejam avaliados e seja decidido se eles são classificados como incidentes de segurança da informação Convém que incidentes de segurança da informação sejam reportados de acordo com procedimentos documentados Convém que os conhecimentos obtidos da análise e resolução dos incidentes de segurança da informação sejam usados para reduzir a probabilidade ou o impacto de incidentes futuros Convém que a organização defina e aplique procedimentos para a identificação. aquisição e preservação das informações. coleta. Victor Dalton www. implemente e mantenha processos.br 47 de 143 WWW. para garantir que eles sejam válidos e eficazes em situações adversas Convém que os recursos de processamento da informação sejam implementados com redundância suficiente para atender aos requisitos de disponibilidade Convém que todos os requisitos legislativos estatutários. as quais podem servir como evidências Aspectos da segurança da informação na Gestão da continuidade do Negócio Conformidad e Convém que a continuidade da segurança da informação seja contemplada nos sistemas de gestão da continuidade do negócio da organização Evitar violação de quaisquer obrigações legais.estrategiaconcursos. regulamentares ou contratuais relacionadas à segurança da informação e de Convém que a organização determine seus requisitos para a segurança da informação e a continuidade da gestão da segurança da informação em situações adversas. a intervalos regulares. documentados e mantidos atualizados para cada sistema de informação da organização Convém que procedimentos apropriados sejam implementados para garantir a conformidade com Prof. por exemplo. durante uma situação adversa Convém que a organização verifique os controles de continuidade da segurança da informação.CONCURSEIROSUNIDOS.com. estatutárias. regulamentares e contratuais pertinentes e o enfoque da organização para atender a esses requisitos sejam explicitamente identificados. durante uma crise ou desastre Convém que a organização estabeleça. procedimentos e controles para assegurar o nível requerido de continuidade para a segurança da informação. documente.

a intervalos regulares. acordos. objetivo dos controles. ou quando ocorrerem mudanças significativas Convém que os gestores analisem criticamente. contratuais e do negócio Convém que a privacidade e a proteção das informações de identificação pessoal sejam asseguradas conforme requerido por legislação e regulamentação pertinente.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 quaisquer requisitos os requisitos legislativos. a intervalos planejados.ORG . com as normas e políticas de segurança e quaisquer outros requisitos de segurança da informação Convém que os sistemas de informação sejam analisados criticamente. legislação e regulamentações pertinentes Assegurar que a segurança da informação esteja implementada e operada de acordo com as políticas e procedimentos da organização Convém que o enfoque da organização para gerenciar a segurança da informação e a sua implementação (por exemplo.br 48 de 143 WWW. de acordo com os requisitos regulamentares. políticas.CONCURSEIROSUNIDOS. estatutários. processos e procedimentos para a segurança da informação) seja analisado criticamente. para verificar a conformidade com as normas e políticas de segurança da informação da organização Prof. Victor Dalton www. e sobre produtos de software proprietários o uso de Convém que registros sejam protegidos contra perda. controles. destruição. regulamentares e contratuais relacionados aos direitos de de segurança propriedade intelectual. acesso não autorizado e liberação não autorizada. dentro das suas áreas de responsabilidade. a intervalos regulares. falsificação. de forma independente. a conformidade dos procedimentos e do processamento da informação.estrategiaconcursos. quando aplicável Convém que controles de criptografia sejam usados em conformidade com todas as leis.com.

à exceção da Gestão da Continuidade do Negócio. d) apenas durante e após o término do vínculo contratual. à exceção da alternativa b). dentre elas. a) Gestão de Riscos de Segurança da Informação. 3ª Questão) (FCC – TCE/SP – Agente da Fiscalização Financeira – Infraestrutura de TI – 2015) Uma empresa verificou que a norma NBR ISO/IEC 27002:2013 define como se deve proceder na questão da segurança ligada a recursos humanos.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 1ª Questão) (FGV – TCE/SE . durante e após o término do vínculo contratual. c) apenas durante a vigência do período contratual.Analista de Tecnologia da Informação – 2015) Com relação à norma ISO/IEC 27002:2013. d) organizações agora podem ser certificadas na última revisão (2013) da ISO 27002. b) Métricas de Sistemas de Gestão de Segurança da Informação. A norma estabelece.ORG . c) não é mais necessário o gerenciamento de ativos. Percebe-se que os nomes de seções supracitados inexistem na norma.br 49 de 143 WWW. e) ela tem foco no gerenciamento de risco na segurança da informação.estrategiaconcursos. Resposta certa. c) Gestão da Segurança da Informação em Organizações da Administração Pública. (agora) a norma possui uma seção exclusiva sobre Criptografia. A segurança em RH preconiza o acompanhamento em três “tempos”: antes. Todas as assertivas acima estão incorretas. Prof. 2ª Questão) (FCC – TCE/CE .com. Afinal. b) apenas antes e durante o vínculo contratual. durante e após a contratação. cuja cláusula foi suprimida na revisão de 2013. e) antes. está correto afirmar que: a) ela indica a necessidade do uso do ciclo PDCA nos processos da organização. em um de seus capítulos. alternativa d). e) Técnicas para Governança da Segurança da Informação. b) a revisão de 2013 criou uma seção específica para controles criptográficos. que os recursos humanos devem ter um acompanhamento a) apenas antes e após o término do vínculo contratual. d) Aspectos da Segurança da Informação na Gestão da Continuidade do Negócio. Victor Dalton www.Técnico de Tecnologia da Informação – 2015) A Norma NBR ISO/IEC 27002:2013 possui 14 seções de controles de segurança da informação.CONCURSEIROSUNIDOS.

estrategiaconcursos. Para verificar a autenticidade ou a integridade de informações sensíveis ou críticas armazenadas ou transmitidas.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Resposta certa. ou em intervalos regulares ou em intervalos planejados.com. 4ª Questão) (FCC – TRT/MG – Analista Judiciário – Tecnologia da Informação – 2015) Baseado nas normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013. um analista de TI está definindo uma política de controle de acesso às informações e aos recursos de processamento de uma organização. Victor Dalton www. devem ser revisadas quando ocorrem mudanças significativas.br 50 de 143 WWW. estas normas recomendam que (A) os direitos de acesso dos funcionários às informações e aos recursos de processamento devem ser retirados quando o funcionário for desligado.CONCURSEIROSUNIDOS. Resposta certa. (D) assinaturas digitais ou códigos de autenticação de mensagens (MAC). deve ser implementado para permitir atribuição de direitos de acesso. baseada apenas nos requisitos de segurança da informação. (E) uma política de controle de acesso deve ser estabelecida. (B) códigos de autenticação de mensagens (MAC) ou criptografia de chaves públicas. Todas as políticas. 5ª Questão) (FCC – TRT/MG – Analista Judiciário – Tecnologia da Informação – 2015) Para assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade. um analista de TI está desenvolvendo uma política para criptografia. Já sabemos que a norma costuma se expressar nestes termos. (C) um processo de registro e cancelamento de usuário. utilizando as recomendações da seção “Criptografia” da norma ABNT NBR ISO/IEC 27002:2013.ORG . (B) os proprietários de ativos devem analisar criticamente os direitos de acesso dos usuários em intervalos regulares. alternativa e). Nesse contexto. documentada e analisada criticamente. mas não precisam ser ajustados se o funcionário mudar de cargo. esta seção da norma recomenda o uso de (A) certificados digitais ou assinaturas digitais. Questão profunda! Prof. alternativa b). via de regra. (E) criptografia de chaves públicas ou certificados digitais. autenticidade e/ou a integridade das informações de uma organização. (D) os usuários recebam acesso às redes e aos serviços de redes que necessitarem e/ou quiserem utilizar. mesmo que informal. (C) criptografia de chaves assimétricas e função de hash.

mas o segundo conceito é o de disponibilidade. 9ª Questão) (CESPE – TCU – Auditor – Tecnologia da Informação – 2015) Entre os serviços proativos a serem prestados por um grupo de respostas a incidentes de segurança incluem-se a realização de tarefas de auditoria. a norma recomenda a utilização de assinaturas digitais ou códigos de autenticação de mensagens (MAC). Victor Dalton www.br 51 de 143 WWW. a avaliação de vulnerabilidades e outras avaliações que visem identificar fraquezas ou vulnerabilidades nos sistemas antes que elas sejam exploradas. Correto.com. Errado! Tamanho e estrutura da organização também devem ser consideradas por ocasião da especificação e implementação do SGSI. o sistema de Prof. ao passo que integridade é a garantia de que os usuários autorizados tenham acesso. à informação e aos ativos correspondentes. Integridade é a garantia que a informação não foi alterada.CONCURSEIROSUNIDOS. alternativa d).Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Para verificação da autenticidade ou integridade. Correto. devem-se considerar as necessidades. 8ª Questão) (CESPE – TCU – Auditor – Tecnologia da Informação – 2015) Na especificação e na implementação do SGSI. sempre que necessário. os objetivos e os requisitos de segurança da organização. Resposta certa. 7ª Questão) (CESPE – TCU – Auditor – Tecnologia da Informação – 2015) As políticas de segurança da informação corporativas devem refletir os objetivos e princípios de segurança da organização que servirão como base para a aplicação de controles destinados a reduzir os riscos de fraudes e erros. mas elas não devem ser influenciadas por seu tamanho nem por sua estrutura. 10ª Questão) (CESPE – STJ – Analista Judiciário – Suporte de Tecnologia da Informação – 2015) De acordo com a norma ISO 27001. e permanece íntegra.ORG . Errado! O conceito de confidencialidade está correto. Deve existir alinhamento entre os princípios de segurança da organização (do macro) com os princípios de segurança da informação (para o micro).estrategiaconcursos. 6ª Questão) (CESPE – TCU – Auditor – Tecnologia da Informação – 2015) Confidencialidade é a garantia de que somente pessoas autorizadas tenham acesso à informação.

por exemplo. o plano de abandono ou o procedimento de recuperação. o enfoque para assegurar a disponibilidade e segurança do sistema de informação ou da informação. é importante que os procedimentos de emergência relacionados sejam ajustados de forma apropriada. Errado! A norma ISO 27002 permite o uso de IDs compartilhados. sejam normalmente de responsabilidade dos provedores de serviços. ser de uso pessoal e individual bem como devem ser mantidas sob sigilo. Convém que procedimentos de emergência. de recuperação. 3. Quando novos requisitos são identificados. Convém que procedimentos de recuperação para serviços técnicos alternativos.estrategiaconcursos. de modo que tais senhas também serão compartilhadas. como processamento de informação e meios de comunicação. por exemplo.1 Considerações Iniciais A ISO 15999 preconiza a adoção de um Plano de Continuidade de Negócios para a recuperação de desastres. Prof. PLANO DE CONTINUIDADE DE NEGÓCIO 3. Correto. assim como as responsabilidades individuais para execução de cada uma das atividades do plano. Convém que os procedimentos do programa de gestão de mudança da organização sejam incluídos para assegurar que os assuntos de continuidade de negócios estejam sempre direcionados adequadamente. 11ª Questão) (CESPE – STJ – Analista Judiciário – Suporte de Tecnologia da Informação – 2015) Conforme disposto na norma ISO 27002.com.ORG .Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 gerenciamento da segurança da informação deve ser revisado regularmente. necessariamente. Convém que cada plano tenha um gestor específico. por necessidades operacionais ou de negócio. considerando-se as sugestões e os feedbacks das partes interessadas.br 52 de 143 WWW. A norma preconiza que: Convém que cada plano de continuidade do negócio descreva o enfoque para continuidade. Victor Dalton www. manual de planejamento e planos de reativação sejam de responsabilidade dos gestores dos recursos de negócios ou dos processos envolvidos.CONCURSEIROSUNIDOS. Convém que cada plano também especifique o plano de escalonamento e as condições para sua ativação. as senhas de acesso devem.

f) uma programação de manutenção que especifique quando e como o plano deverá ser testado e a forma de se proceder à manutenção deste plano.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Convém que uma estrutura de planejamento para continuidade de negócios contemple os requisitos de segurança da informação identificados e considere os seguintes itens: a) condições para ativação dos planos. b) procedimentos de emergência que descrevam as ações a serem tomadas após a ocorrência de um incidente que coloque em risco as operações do negócio. h) designação das responsabilidades individuais. um PCN é um conjunto de três outros planos: o Plano de Gerenciamento de Crises (PGC).estrategiaconcursos. Cada um destes planos é focado em uma determinada variável de risco. Segundo o estudo Plano de Continuidade de Negócio: Planejamento. Convém que suplentes sejam definidos quando necessário.com.br/ant/artigos_mba/artpcn.ORG . i) os ativos e recursos críticos precisam estar aptos a desempenhar os procedimentos de emergência. nas atividades que envolvem as respostas aos Prof. d) procedimentos operacionais temporários para seguir durante a conclusão de recuperação e restauração. disponível em http://www.br 53 de 143 WWW. quem deve ser acionado etc. g) atividades de treinamento. e) procedimentos de recuperação que descrevam as ações a serem adotadas quando do restabelecimento das operações. descrevendo quem é responsável pela execução de que item do plano. c) procedimentos de recuperação que descrevam as ações necessárias para a transferência das atividades essenciais do negócio ou os serviços de infraestrutura para localidades alternativas temporárias e para a reativação dos processos do negócio no prazo necessário. recuperação e reativação. conscientização e educação com o propósito de criar o entendimento do processo de continuidade de negócios e de assegurar que os processos continuem a ser efetivo.com. Victor Dalton www.pdf. os quais descrevem os processos a serem seguidos (como se avaliar a situação. o Plano de Continuidade Operacional (PCO) e o Plano de Recuperação de Desastres (PRD).) antes de cada plano ser ativado.CONCURSEIROSUNIDOS. numa situação de ameaça ao negócio da empresa (ou ambiente): O PGC.lyfreitas.

Plano de Recuperação de Desastres PRD – Tem o propósito de definir um plano de recuperação e restauração das funcionalidades dos ativos afetados que suportam os processos de negócio. objetivando reduzir o tempo de indisponibilidade e. O PCO. Prof. voltado para as atividades que garantam a realização dos processos e o PRD. Conectividade. tem que definir os procedimentos a serem executados pela mesma equipe no período de retorno à normalidade. – Localização. para diminuir ou mitigar o impacto causado pelos mesmos. Estes gatilhos são parâmetros de tolerância usados para sinalizar o início da operacionalização da contingência. no menor tempo possível. Ao criar o PCN/BCP.br 54 de 143 WWW.estrategiaconcursos. consequentemente. Para obtenção de sucesso nas ações dos planos. é necessário estabelecer adequadamente os gatilhos de acionamento para cada plano de continuidade. a fim de restabelecer o ambiente e as condições originais de operação. Além disso. dentre outros. Instalações Elétricas. Plano de Gerenciamento de Crises PGC – Este documento tem o propósito de definir as responsabilidades de cada membro das equipes envolvidas com o acionamento da contingência antes. durante e depois da ocorrência do incidente. I – Infraestrutura Segurança Física. O comportamento da empresa na comunicação do fato à imprensa é um exemplo típico de tratamento dado pelo plano.com.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 eventos. evitando acionamentos prematuros ou tardios. Plano de Continuidade Operacional PCO – Tem o propósito de definir os procedimentos para contingenciamento dos ativos que suportam cada processo de negócio.ORG . T – Telecomunicações – Empresas que fornecem comunicação usando dados e voz. etc. Victor Dalton www. os impactos potenciais ao negócio. para-raios. P – Pessoas – Contingência das atividades e atendimento através de Sites Remotos. deve-se manipular as variáveis ETIPI. voltado para a substituição ou reposição de componentes que venham a ser danificados.CONCURSEIROSUNIDOS. Cabe destacar que o PCN deve ser planejado antes da ocorrência de desastres. Sistemas. I – Informática – Equipamentos. a saber: E – Energia – Operadoras fornecedoras de energia elétrica. Orientar as ações diante da queda de uma conexão à Internet exemplificam os desafios organizados pelo plano.

CONCURSEIROSUNIDOS.ORG . c) Identificar quaisquer atividades interdependentes.  O tempo máximo até a retomada dos níveis normais de operação. o impacto que aconteceria caso a atividade fosse interrompida.2 Análise de Impacto de Negócios (BIA) Quanto à Análise de Impacto no Negócio (BIA).  O nível mínimo no qual a atividade tem que ser desempenhada após seu reinício. conforme o passar do tempo. A materialização deste processo é a própria BIA. Estes podem incluir: a) b) c) d) e) f) g) Impacto ao bem-estar das pessoas. Para cada atividade que suporta a entrega de produtos e serviços fundamentais para a organização.estrategiaconcursos. Não cumprimento de deveres ou regulamentações. Danos à viabilidade financeira. Danos à reputação. dentro do escopo da Gestão de Continuidade de Negócios. ativos. tecnologias ou informação. a ISO 15999 preconiza a conveniência de a organização definir e documentar o impacto de uma interrupção nas atividades que suportam seus produtos e serviços fundamentais. identificando:  O tempo máximo decorrido após o início de uma interrupção para que uma atividade precise ser reiniciada. Victor Dalton www. b) Estabeleça o período máximo de interrupção tolerável de cada atividade. Dano ou perda de instalações.br 55 de 143 WWW. convém que a organização: a) Verifique. convém que a organização considere aqueles que se relacionam a seus objetivos de negócio e às partes interessadas.3 Estratégias de Recuperação Prof. Por fim. Deterioração da qualidade de produtos ou serviços.com. infraestrutura de suporte ou recursos que também precisem ser mantidos continuamente ou recuperados ao longo do tempo. 3.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 3. Danos ambientais. ao avaliar os impactos.

sem. Vemos que o processo de envio e recebimento de mensagens é mais tolerante que o exemplo usado na estratégia anterior. • Estratégia de Contingência Cold-site – Dentro da classificação nas estratégias anteriores. Entretanto. esta propõe uma alternativa de contingência a partir de um ambiente com os recursos mínimos de infraestrutura e telecomunicações. Prof. ou até segundos. O tempo de operacionalização desta estratégia está diretamente ligado ao tempo de tolerância a falhas do objeto. podemos distinguir entre dois tipos de arquivos: os arquivos de uso Corporativo e os arquivos de uso pessoal. • Estratégia de Contingência Warm-site – Esta se aplica a objetos com maior tolerância à paralisação. com uma distância geográfica mínima que evite que problemas nas instalações tenham repercussão no local de guarda das cópias (ou vice-versa). de acordo com a política de segurança estabelecida. pois poderia ficar indisponível por minutos. no entanto. estaríamos falando de milissegundos de tolerância para garantir a disponibilidade do serviço mantido pelo equipamento. o serviço de email dependente de uma conexão.estrategiaconcursos. numa primeira abordagem. Baseado na importância dos backup’s. até o retorno operacional da atividade. pois guardam uma cópia fiel dos dados minutos. por exemplo.br 56 de 143 WWW. foram criadas diversas estratégias para o seu armazenamento.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 O Plano de Continuidade tem sua sustentação básica composta pelos procedimentos de cópias de base de dados e a respectiva guarda destas cópias em local seguro.CONCURSEIROSUNIDOS. Victor Dalton www. antes de um desastre. sua cópia e a respectiva armazenagem desta cópia é uma exigência do Plano de Continuidade. Cada tipo de arquivo irá exigir um tipo de cópia. como exemplo. A guarda deve ser feita em local seguro. um servidor de banco de dados. O armazenamento estas cópias está diretamente relacionado à Estratégia de Recuperação (ou Contingência) da organização. que são: • Estratégia de Contingência Hot-site – Recebe este nome por ser uma estratégia pronta para entrar em operação assim que uma situação de risco ocorrer. comprometer o serviço ou gerar impactos significativos. As cópias (backup’s) de todas as bases de dados corporativas devem ser feitas com a frequência que suas atualizações demandarem pela área gestora dos Recursos de Tecnologia de Informação.ORG . podendo se sujeitar à indisponibilidade por mais tempo. Se a aplicássemos em um equipamento tecnológico.com. Independente do tipo de arquivo.

claro que esta estratégia foi analisada e aprovada pelos gestores.br 57 de 143 WWW.com. • Estratégia de Contingência Datacenter – Considera a probabilidade de transferir a operacionalização da atividade atingida para um ambiente terceirizado.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 desprovido de recursos de processamento de dados. portanto. devido ao seu alto custo. torna-se restrita a poucas organizações. Por sua própria natureza.estrategiaconcursos. Devem servir mais para que você entenda a “mecânica” da cobrança do conteúdo. Prof. em virtude da existência de pouquíssimos exercícios (já abordados anteriormente) das versões 2013. aplicável à situação com tolerância de indisponibilidade ainda maior. Victor Dalton www. critérios e mecanismos de controle que garantam condições de segurança adequadas à relevância e criticidade da atividade contingenciada. veremos exercícios apenas das versões anteriores das normas ISO 27001 e 27002. Portanto.CONCURSEIROSUNIDOS.ORG . requer atenção na adoção de procedimentos. fora dos domínios da empresa. A seguir. em que requer um tempo de indisponibilidade menor em função do tempo de reativação operacional da atividade. O fato de ter suas informações manuseadas por terceiros e em um ambiente fora de seu controle.

Ainda. e estrutura gerencial de fiscalização dessa política.estrategiaconcursos. implantadas e em contínuo processo de revisão.ORG . quando possível. claramente sustentada pela alta hierarquia. A norma ISO 27002 define a Segurança da Informação como “a proteção da informação de vários tipos de ameaças para garantir a continuidade no negócio. implantada e imune a revisões. claramente sustentada pela alta hierarquia da área de informática. Victor Dalton www. com regras criptografadas e estrutura matricial e material de priorização dessa política. com regras o mais claro e simples possível. b) política elaborada. válida para toda a organização. claramente sustentada pelos gestores do nível operacional. e) o conjunto de diretrizes e metas elaboradas. c) política e diretrizes de implantação.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 EXERCÍCIOS COMENTADOS VERSÕES ANTERIORES DAS NORMAS 1ª Questão) (ESAF – Superintendência de Seguros Privados – Tecnologia da Informação – 2010) Por política de segurança entende-se a) política planejada. alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização. fiscalizada por toda a organização. sustentada pela alta hierarquia. A ESAF extraiu essa definição de um parágrafo grifado na página 24 do livro do Caruso. e estrutura gerencial e material de terceirização de procedimentos. minimizar o risco ao negócio.com. em contínuo processo de desenvolvimento.” Prof. com regras o mais claro e simples possível. com técnicas criptográficas o mais claro e simples possível. válida para os setores críticos da organização. d) política elaborada. maximizar o retorno sobre os investimentos e as oportunidades de negócio”. e que “convém que a direção estabeleça uma política clara.CONCURSEIROSUNIDOS. Segurança em Informática e de Informações. válidas para os responsáveis pela segurança. Esse livro não nos será necessário.br 58 de 143 WWW. claramente sustentada pela alta hierarquia. esta mesma norma diz que o objetivo da política da segurança da informação é “prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes”. com estrutura gerencial de regras de formalização individualizada dessa política nas unidades organizacionais. válida para toda a organização. e estrutura gerencial e material de suporte a essa política. implantada e em contínuo processo de revisão.

adaptada) Considere: I. b) confiabilidade. II. III.ORG . e) integridade. 2ª Questão) (FCC – TRT 24ª Região – Analista Judiciário – Tecnologia da Informação – 2011 . confiabilidade e disponibilidade. Na ISO/IEC 17799(27002). Preciso falar sobre isso? Prof.br 59 de 143 WWW. Na pior das hipóteses. Fala em “terceirização de procedimentos” e em suporte “quando possível”. a a) disponibilidade. diretrizes. Victor Dalton www. confiabilidade e disponibilidade. Confirmando. veja que podemos trabalhar as alternativas por eliminação: a)a alternativa “a” fala em política apenas para os setores críticos da organização.com. c) confidencialidade. c)Política ”com regras criptografadas”? Estamos falando de políticas. Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. dá pra ficar em dúvida entre a letra e) e a letra b). d)Política “imune a revisões”. integridade e disponibilidade.estrategiaconcursos. e uma observação mais atenta nos conduzirá à resposta correta. Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. Segurança da informação é preocupação de TODOS! Eliminada. I. e)Nesta os erros estão um pouco mais velados. letra b). integridade e confiabilidade. Salvaguarda da exatidão e completeza da informação e dos métodos de processamento. II e III correspondem. respectivamente. Ao longo das questões de Segurança da Informação.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Sendo conhecedor esta definição e entendendo o intuito dela. alto nível. Nem precisa continuar lendo.CONCURSEIROSUNIDOS. integridade e distributividade. d) confidencialidade. Eliminada. você constatará que o bom-senso pode ser um forte aliado na resolução deste tipo de questão.

ferramentas de desenvolvimento e utilitários. procedimentos de suporte ou operação. informações sobre pesquisa. equipamentos de comunicação. procedimentos de recuperação. II.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Segundo a norma: Confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. III. 3ª Questão) (FCC – SABESP – Técnico em Gestão 01 –Informática – 2014) De acordo com a Norma ABNT ISO/IEC 27002:2005. classificados. pessoal.com. Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. base de dados e arquivos. trilhas de auditoria e informações armazenadas. equipamentos computacionais. mídias removíveis e outros equipamentos. documentação de sistema.br 60 de 143 WWW. que incluem os listados abaixo: I. IV. existem vários tipos de ativos em uma organização que devem ser protegidos. inventariados e controlados. contratos e acordos. Integridade: Salvaguarda da exatidão e completeza da informação e dos métodos de processamento. planos de continuidade de negócios. Sem mistérios. material de treinamento. sistemas. reputação e imagem da organização. Victor Dalton www.ORG .estrategiaconcursos.CONCURSEIROSUNIDOS. Alternativa c). Prof. manuais de usuário. aplicativos.

requisitos legais.com. Resposta certa.estrategiaconcursos. tais como a reputação e a imagem da organização. sistemas. por exemplo. Victor Dalton www. iluminação.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 V. recomenda que a informação seja classificada em termos do seu valor. As denominações dos ativos acima listados. de computação e comunicações. na seção que trata da classificação da informação. habilidades e experiências. procedimentos de recuperação. 4ª Questão) (FCC – TRT/18ª Região – Analista Judiciário –Tecnologia da Informação – 2013) A Norma NBR ISO/IEC 27002:2005. ferramentas de equipamentos de d) serviços: serviços de computação e comunicações. material de treinamento. f) intangíveis. iluminação.CONCURSEIROSUNIDOS. procedimentos de suporte ou operação. aquecimento.ORG . alternativa d). de acordo com a Norma. é apresentada em: Segundo a ISO 27002. eletricidade e refrigeração. incluindo: a) ativos de informação: base de dados e arquivos. manuais de usuário. planos de continuidade do negócio. utilidades gerais. eletricidade e refrigeração.br 61 de 143 WWW. mídias removíveis e outros equipamentos. informações sobre pesquisa. documentação de sistema. trilhas de auditoria e informações armazenadas. sensibilidade e criticidade Prof. por exemplo aquecimento. contratos e acordos. aplicativos. e) pessoas e suas qualificações. c) ativos físicos: equipamentos computacionais. comunicação. utilidades gerais. b) ativos de software: desenvolvimento e utilitários. existem vários tipos de ativos.

e assegurar que está atualizada e devidamente inventariada.estrategiaconcursos. (D) cuidados sejam tomados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso. (E) atenção especial seja dada aos documentos de outras organizações. (C) seja de responsabilidade do custodiante definir a multiclassificação da informação. Esquemas excessivamente complexos podem tornar o uso incômodo e serem inviáveis economicamente ou impraticáveis. (C) seja de responsabilidade do proprietário do ativo definir a classificação de um ativo. (B) as diretrizes para classificação incluam convenções para classificação inicial e reclassificação ao longo do tempo. (B) as diretrizes para classificação incluam convenções para desclassificação e multiclassificação ao longo do tempo. de forma que sempre haja definições diferentes para ativos iguais ou semelhantes aos usados.CONCURSEIROSUNIDOS. Em relação às diretrizes para a implementação desta classificação. associados com tais necessidades. e assegurar que ele está atualizado e no nível apropriado. Que tal eu reescrever as alternativas segundo a norma? (A) a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios. está de acordo com esta Norma afirmar que convém que (A) a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de acesso livre e rápido às informações e os benefícios positivos que causarão aos negócios. Este é o tipo de questão no qual você certamente irá utilizar o seu bom senso. de acordo com algumas políticas de inventário de ativos predeterminadas. o que tornam a sentença errada meio nonsense. analisando-a criticamente a intervalos regulares.br 62 de 143 WWW. Victor Dalton www. de acordo com algumas políticas de controle de acesso predeterminadas. (D) cuidados sejam tomados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 para a organização.ORG . Esquemas Prof. Neste tipo de questão. o examinador costuma reescrever trechos da norma.com. analisando-a criticamente a intervalos regulares.

– Correto! (E) atenção especial seja dada aos documentos de outras organizações. suspeitas ou reais.ORG . (D) Sejam implementados controles apropriados antes da manutenção. indicado pelo fornecedor. que podem ter definições diferentes para rótulos iguais ou semelhantes aos usados. Victor Dalton www. (B) A manutenção e os consertos dos equipamentos sejam realizados somente por pessoal terceirizado. para a manutenção dos equipamentos. (C) A manutenção seja realizada em intervalos seguindo a regra: equipamentos caros devem ter manutenção a cada 60 dias e equipamentos mais baratos a cada 6 meses. 5ª Questão) (FCC – TRT/5ª Região – Analista Judiciário –Tecnologia da Informação – 2013) A Norma NBR ISO/IEC 27002:2005 recomenda que os equipamentos tenham uma manutenção correta para assegurar sua disponibilidade e integridade permanentes. de forma que todas as informações sensíveis sempre sejam eliminadas do equipamento. – Coerente e correto! (B) A manutenção e os consertos dos equipamentos sejam realizados somente por pessoal terceirizado. a seguinte diretriz: (A) Sejam mantidos registros de todas as falhas. e de todas as operações de manutenção preventiva e corretiva realizadas. indicado pelo fornecedor.com. (E) Sejam atendidas apenas as exigências estabelecidas nas apólices de seguro que não interfiram na programação interna de manutenção definida na empresa.estrategiaconcursos.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 excessivamente complexos podem tornar o uso incômodo e serem inviáveis economicamente ou impraticáveis. – que norma colocaria prazos sem conhecer os Prof. e de todas as operações de manutenção preventiva e corretiva realizadas.CONCURSEIROSUNIDOS. suspeitas ou reais. Mais uma questão de bom senso! Vamos analisar as assertivas criticando? (A) Sejam mantidos registros de todas as falhas. convém que seja levada em consideração. De acordo com a Norma.br 63 de 143 WWW. – que norma obrigaria que somente terceirizados fizessem manutenção? “a manutenção e os consertos dos equipamentos sejam realizados somente por pessoal de manutenção autorizado” (C) A manutenção seja realizada em intervalos seguindo a regra: equipamentos caros devem ter manutenção a cada 60 dias e equipamentos mais baratos a cada 6 meses.

sejam atendidas todas as exigências estabelecidas nas apólices de seguro.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 equipamentos? “a manutenção dos equipamentos seja realizada nos intervalos recomendados pelo fornecedor. de gestão ou legal. da integridade e da disponibilidade da informação.CONCURSEIROSUNIDOS. manter e melhorar a gestão de segurança da informação em uma organização. é indicado por um simples evento ou por uma série de eventos de segurança da informação indesejados ou inesperados. 6ª Questão) (FCC – TRT/12ª Região – Analista Judiciário –Tecnologia da Informação – 2013) A Norma ISO/IEC 27002:2005 estabelece diretrizes e princípios gerais para iniciar. podem também estar envolvidas. . de forma que todas as informações sensíveis sempre sejam eliminadas do equipamento. risco. adicionalmente.estrategiaconcursos. técnica. A norma diz que “sejam implementados controles apropriados. – hein? Sempre apagar informações sensíveis? Somente para contextualizar. Victor Dalton www. procedimentos. como os descritos abaixo: I. preservação da confidencialidade. as informações sensíveis são aquelas que podem colocar em risco a segurança da informação. que podem ser de natureza ad ministrativa. A Norma apresenta alguns termos e definições. não repúdio e confiabilidade. ou o pessoal de manutenção seja de absoluta confiança. implementar. Simples assim. na época programada para a manutenção do equipamento. as informações sensíveis sejam eliminadas do equipamento. II. práticas ou estruturas organizacionais. que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.br 64 de 143 WWW. II e III são. tais como autenticidade. Os termos referenciados em I. e de acordo com as suas especificações” (D) Sejam implementados controles apropriados antes da manutenção. dependendo de a manutenção ser realizada pelo pessoal do local ou por pessoal externo à organização. respectivamente: (A) diretriz. III. diretrizes.ORG . responsabilidade. incluindo políticas. Prof. proteção da informação. outras propriedades.com. (E) Sejam atendidas apenas as exigências estabelecidas nas apólices de seguro que não interfiram na programação interna de manutenção definida na empresa. caso um funcionário de manutenção tenha acesso a tais dados. onde necessário. forma de gerenciar o risco.

Segurança da Informação – preservação da confidencialidade. (D) controle.br 65 de 143 WWW.ORG . não repúdio e confiabilidade. (E) tratamento do risco. Victor Dalton www. o objetivo de garantir a operação segura e correta dos recursos de processamento da informação é atendido. risco de segurança da informação. Convém que o início de um Prof. c) Entrega de serviços. técnica. procedimentos. dentre outros. outras propriedades. Convém que sejam tomados certos cuidados para impedir que uma única pessoa possa acessar. b) Manutenção dos equipamentos. responsabilidade.estrategiaconcursos. Incidente . d) Segregação de funções. proteção da informação. alternativa d). de gestão ou legal. adicionalmente.com. segurança da informação. podem também estar envolvidas. práticas ou estruturas organizacionais. A segregação de funções é um método para redução do risco de uso indevido acidental ou deliberado dos sistemas. tais como autenticidade. que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.um evento ou por uma série de eventos de segurança da informação indesejados ou inesperados.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (B) controle do risco. Segundo a Norma: Controle – forma de gerenciar o risco. Resposta certa. vulnerabilidade da segurança da informação. e) Gestão de capacidade. pelo controle a) Remoção de propriedade. diretrizes. incidente de segurança da informação. (C) política. da integridade e da disponibilidade da informação. modificar ou usar ativos sem a devida autorização ou detecção. incluindo políticas.CONCURSEIROSUNIDOS. ameaça da segurança da informação. gerenciamento da informação. que podem ser de natureza ad ministrativa. segurança da informação. 7ª Questão) (FCC – TJ/PE – Analista Judiciário – Análise de Suporte – 2012) Segundo a Norma 27002.

É recomendável efetuar. c) Trabalhando em áreas seguras. d) Controles de entrada física. II e III são falsas. bem como os danos e interferências com as instalações e informações da organização. III. teste e de produção. Convém que a possibilidade de existência de conluios seja considerada no projeto dos controles. Victor Dalton www. b) Perímetro de segurança física.ORG . do Gerenciamento das operações e comunicações. bem como os danos e interferências com as instalações e informações da organização. II. 9ª Questão) (ESAF . É recomendável estabelecer regras para o uso aceitável de ativos associados aos recursos de processamento da informação. criticamente.estrategiaconcursos. A Segurança Física e do Ambiente diz respeito a prevenir o acesso físico não autorizado. e) Acesso do público nas áreas de entrega e de carregamento. I.Analista de Finanças e Controle – Infraestrutura de TI – 2008) Considerando uma adequada gestão de riscos para a segurança da informação. Resposta certa. NÃO é atendido pelo controle a) Separação dos recursos de desenvolvimento. Dos controles supracitados.CONCURSEIROSUNIDOS. Prof. definido na Norma 27002.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 evento seja separado de sua autorização. a separação dos recursos de desenvolvimento. alternativa d). d) I. É recomendável estabelecer responsabilidades e procedimentos de gestão para assegurar respostas rápidas e efetivas a incidentes de segurança. II e III são verdadeiras. teste e de produção é um controle lógico. a) Apenas I e II são verdadeiras. uma vez que esta considera ameaças. e) I. b) Apenas II e III são verdadeiras. 8ª Questão) (FCC – TJ/PE – Técnico Judiciário –Suporte Técnico – 2012) O objetivo de prevenir o acesso físico não autorizado. a análise de riscos de segurança. analise as afirmações a seguir e assinale a opção correta. Afinal de contas. vulnerabilidades e impactos em função dos negócios da organização.com.br 66 de 143 WWW. o único que não diz respeito à proteção física é a alternativa a). c) Apenas I e III são verdadeiras.

é norteada por duas idéias-chave. transferência ou prevenção. desconsiderar as mudanças nos requisitos do negócio e suas prioridades. II. ou seja. por fim. mas eles jamais devem priorizados sobre os controles já implementados. Novos controles devem ser criados para atender atividades específicas da organização. e o item III também está errado. Victor Dalton www. enquanto o item I faz uma afirmação aparentemente correta. o tratamento do risco. É correto o que consta APENAS em a) III e IV. IV. Primeiramente. Prof. e não de Riscos. mas que parece estar fora de contexto.estrategiaconcursos.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Gestão de riscos! Conceito importante! A norma ISO 27002.com. no que diz respeito a riscos. b) II e IV. a idéia de que o risco deve ser analisado e avaliado. e) I e II. segundo a norma NBR ISO/IEC 17799(27002). Voltando à questão. deve-se I. Logo. a letra b) é a nossa alternativa correta. Outra questão pode ser respondida com intuição.br 67 de 143 WWW. priorizar a avaliação dos novos controles sobre os controles já implementados. III. c) II e III. por meio da aceitação.ORG .adaptada) Sobre avaliação dos riscos de segurança. O item I aparenta ser absurdo logo de cara. realizar análises críticas periódicas. mitigação. E. a organização deve quantificar e priorizar os riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização. considerar novas ameaças e vulnerabilidades aos ativos. percebemos que os itens II e III fazem bastante sentido. d) I e III. 10ª Questão) (FCC – Banco Central do Brasil – Analista Área 1 – 2006 . E é porque está! O item I versa sobre a Gestão de Ativos.CONCURSEIROSUNIDOS.

tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas. 12ª Questão) (FCC – INFRAERO – Analista de Sistemas – Segurança da Informação . impactos. apenas. b) I. as quatro assertivas estão corretas. e) II e IV. uma decisão Prof. II e IV. III e IV.br 68 de 143 WWW. apenas. apenas. III. convém que a análise/avaliação de riscos: I. d) I e III. vulnerabilidades.estrategiaconcursos.CONCURSEIROSUNIDOS. III e IV. ela está correta. avaliação do risco e quando uma mudança significativa ocorrer. Victor Dalton www. IV. forma metódica. trechos dela. Alternativa a). ameaças. inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco). nos ativos.ORG .2011) De acordo com a ISO/IEC 27002:2005. via de regra. literalmente. capaz de gerar resultados Está correto o que consta em a) I. para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco. seja realizada de comparáveis e reproduzíveis. Quanto a essa questão. quando uma afirmativa é coerente com o enunciado. também seja realizada periodicamente.com.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Alternativa b). Não gosto de passar macetes mas. apenas. II. 11ª Questão) (FCC – INFRAERO – Analista de Sistemas – Desenvolvimento e Manutenção . Você pode observar e concordar comigo (ou não). se necessário. c) II. para cada um dos riscos identificados. seguindo a análise/avaliação de riscos.2011) De acordo com a ISO/IEC 27002:2005. Eu não gosto de “florear” explicações a respeito das normas porque você mesmo pode conferir que as questões transcrevem. II. ou seja.

CONCURSEIROSUNIDOS. Resposta certa.com. e) aplicar controles apropriados para reduzir os riscos. c) conhecer e objetivamente aceitar os riscos. Portanto. pois os possíveis problemas causados impactam em um custo menor do que o necessário para o seu tratamento. seguradoras ou fornecedores. por exemplo. alternativa d). Uma possível opção para o tratamento do risco NÃO inclui a) transferir os riscos associados para outras partes. 13ª Questão) (FCC . sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco. ignorar o risco não existe. seguradoras ou fornecedores. Victor Dalton www. Como lidar com os riscos? MATE os riscos! Mitigar: aplicar controles apropriados para reduzir os riscos. b) evitar riscos. não permitindo ações que poderiam causar a ocorrência de riscos. sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco.ORG . não permitindo ações que poderiam causar a ocorrência de riscos.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 sobre o tratamento do risco precisa ser tomada.INFRAERO – Analista Superior III – Segurança da Informação – 2011) Sobre o uso e gerenciamento de senhas como parte da política de controle de acesso. Aceitar: conhecer e objetivamente aceitar os riscos. b) uma forma de garantir o comprometimento dos colaboradores em manter a confidencialidade da senha é incluir uma cláusula no termo de Prof. por exemplo. d) ignorar os riscos. Evitar: evitar riscos.br 69 de 143 WWW.estrategiaconcursos. é correto afirmar que a) os privilégios de acesso por meio de senha devem estar restritos à necessidade real de cada usuário ou grupo de usuários. E não confunda ignorar com aceitar. tanto para acesso à rede quanto aos sistemas e ao banco de dados. Transferir: transferir os riscos associados para outras partes.

Por isso. informações sensíveis às quais tem acesso. Victor Dalton www. e uso de tokens. como biométrica. c) “Senhas são um meio comum de verificar a identidade de um usuário antes que acessos sejam concedidos a um sistema de informação ou serviço de acordo com a autorização do usuário.com. por quaisquer meios.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 confidencialidade dessas juridicamente legal. e convém que sejam consideradas. conduzidos pelo processo de negócio. e) Uma senha temporária deve ser criada e o usuário deve ser obrigado a trocá-la no primeiro acesso. e cartões inteligentes.ORG . conduzidos pelo processo de negócio. por exemplo. é sinal de que dois ajustes precisam ser feitos. Então. assegurar que “os privilégios sejam concedidos a usuários conforme a necessidade de uso e com base em eventos alinhados com a política de controle de acesso” e “os direitos de acesso de usuários sejam revisados em intervalos regulares”. por exemplo). Refazer toda a Política de Segurança por conta disso não é necessário. A alternativa a) é a correta. ou periodicamente. estão disponíveis. regidas pelo bom senso. solicita-se ao usuário que assine uma declaração para que o usuário mantenha a confidencialidade de sua senha. como você deve ter percebido. apesar desse procedimento não ser c) ainda não estão disponíveis tecnologias mais seguras para substituir o uso exclusivo da senha digitada.” d) A prática dos colaboradores emprestarem senhas.estrategiaconcursos. verificação de digitais. não existe ilegalidade alguma nesse processo.br 70 de 143 WWW. é sinal de que uma nova Política de Segurança deve ser criada. Outras tecnologias para identificação de usuário e autenticação. e) uma senha temporária deverá ser alterada quando o colaborador achar necessário. senhas.CONCURSEIROSUNIDOS. com com base em número de acessos (troca a cada 1000 utilizações.A afirmativa da questão não faz sentido. acredito Prof. Senhas devem ser alteradas sempre que existir indicação de comprometimento do sistema. se apropriado. d) a prática dos colaboradores emprestarem senhas. Termo de confidencialidade é o que você assina junto ao seu contratante se comprometendo a não vazar. sistema de informação ou sistema operacional da rede. a norma é uma série de ideias a respeito da segurança da informação. Além disso. Primeiro. Vejamos os erros das demais: b) Na verdade. verificação de assinatura. por exemplo.

Conformidade. Mas. o que se dará pela imposição de restrições e pela determinação de condutas obrigatórias. que não podem ser cedidas em hipótese alguma. não ceder informações em hipótese alguma? E se vier uma ordem judicial exigindo expor as informações de um contrato? Evidentemente incorreta.2012) A informação é um ativo que.estrategiaconcursos. estatutos.CONCURSEIROSUNIDOS. poderão ser infringidos inadvertidamente. é essencial para os negócios de uma Prof. de outras organizações e mesmo do Estado.br 71 de 143 WWW. no que diz respeito à legislação. como qualquer outro ativo importante.com. Esta questão veio lá do Capítulo 15. c) A política de segurança da informação deve evidenciar a posição contrária da empresa a qualquer violação de propriedade intelectual. normas. todas as alternativas de a) a d) falam coisas que fazem sentido. sobretudo de obras protegidas pelo direito de propriedade intelectual. e) Deve-se proteger as informações dos colaboradores. a banca escolhe um tópico e se debruça em cima dele. 14ª Questão) (FCC . regulamentos e até mesmo recomendações que se aplicam ao negócio. é INCORRETO afirmar: a) O uso de criptografia.ORG . quer seja para o armazenamento quer para a transferência de informação. a organização cria mecanismos para orientar o comportamento das pessoas. Apesar da melhor das intenções.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 que um “mix” de leitura com o bom senso podem fazê-lo acertar a questão na hora da prova. b) A organização deve empenhar esforços no sentido de se manter um inventário de seus ativos de informação. fornecedores e clientes. os direitos das pessoas. deve estar de acordo com as leis do país. na alternativa e). Funciona assim. 15ª Questão) (FCC – TRT/2ª Região – Analista Judiciário – Especialidade Informática .INFRAERO – Analista Superior III – Segurança da Informação – 2011) Ao escrever e implementar uma política se segurança da informação. Ao se definir uma política de segurança da informação. Mas você percebe é qué possível responder com bom senso! Ora. pois pode haver restrições quanto à exportação ou importação de determinados algoritmos criptográficos. d) Deve-se identificar todas as leis. Victor Dalton www.

” e) “O processo de compilação de um inventário de ativos é um prérequisito importante no gerenciamento de riscos.” Espero que você perceba que fazem sentido os itens estarem certos ou errados.” Bem sensato. alguns ativos de informação. sendo necessário usar um rótulo eletrônico. Gestão de Ativos. níveis de proteção proporcionais à importância dos ativos sejam identificados. com base na importância do ativo. conforme apropriado. como documentos em forma eletrônica. formato. informações sobre licenças e a importância do ativo para o negócio. b) “Convém que o inventário do ativo inclua todas as informações necessárias que permitam recuperar de um desastre. não podem ser fisicamente rotulados. Sobre os ativos. localização.estrategiaconcursos.CONCURSEIROSUNIDOS. possuem valor para o negócio. mas não é pré-requisito no gerenciamento de riscos. e) O processo de compilação de um inventário de ativos é importante. informações sobre cópias de segurança. segundo a Norma ABNT NBR ISO/IEC 27002:2005. Vejamos: a) “Entretanto.” d) “Convém que.com. c) A implementação de controles específicos não pode ser delegada pelo proprietário do ativo. mesmo sendo ele o único responsável pelos controles e pela proteção adequada de seus ativos. d) Todos os ativos devem ter um alto nível de proteção independentemente da sua importância.br 72 de 143 WWW.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 organização. capítulo 7. pois. não? Correta. Victor Dalton www. porém o proprietário permanece responsável pela proteção adequada dos ativos. incluindo o tipo do ativo. seu valor para o negócio e a sua classificação de segurança. sendo necessário usar um rótulo eletrônico. como documentos em forma eletrônica. b) O inventário do ativo deve incluir apenas seu tipo. Prof.” c) “A implementação de controles específicos pode ser delegada pelo proprietário. não podem ser fisicamente rotulados. pois essas são as únicas informações relevantes para o caso da recuperação de um desastre. é correto afirmar: a) Alguns ativos de informação.ORG . formato e localização.

IV. apenas. de gestão ou legal.br 73 de 143 WWW. apenas.estrategiaconcursos. d) II. incluindo políticas. Uma política de segurança da informação que reflita os objetivos do negócio. Ora. você percebe que são afirmativas coerentes. práticas ou estruturas organizacionais. sem rodeios. é óbvio que uma política adequada é fator crítico de sucesso para a sua implementação. apesar de importante. c) II e III.com. apenas. II e IV.ORG . Um controle é uma forma de gerenciar o risco. III. estruturas organizacionais e funções de software e hardware. Já o item III soa estranho. procedimentos. não representa um fator crítico para o sucesso da implementação da segurança da informação dentro de uma organização”.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 16ª Questão) (FCC – TRT/2ª Região – Analista Judiciário – Especialidade Informática . de que adianta uma política de segurança da informação que não proteja da melhor forma as informações mais valiosas da empresa? Portanto. analise: I. e) I e III. II. II. apesar de importante.2012) Com relação aos controles e à política de segurança da informação de uma organização. técnica. b) I. II e IV. Lidos os itens I. A distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes. que podem ser de natureza administrativa. Alternativa correta. não representa um fator crítico para o sucesso da implementação da segurança da informação dentro de uma organização. letra b). incluindo políticas. procedimentos. III e IV. diretrizes. apenas. funcionários e outras partes envolvidas é um fator crítico para o sucesso da implementação da segurança da informação em uma organização. Está correto o que consta em a) I. Victor Dalton www. ao afirmar que “Uma política de segurança da informação que reflita os objetivos do negócio. processos.CONCURSEIROSUNIDOS. A segurança da informação é obtida a partir da implementação de controles adequados. Pessoal. Prof.

b) as instalações de processamento da informação gerenciadas pela organização fiquem fisicamente juntas daquelas que são gerenciadas por terceiros. e dos resultados da análise/avaliação de riscos. por serem parte do patrimônio da organização. e) Correta. Não é que todo terceiro seja bandido. Esses sistemas não precisam ser testados em intervalos regulares. não é mesmo? Errada. mas também não precisa dar sopa. Vamos.ORG . d) A frase “soa” errada. elas não precisam funcionar de acordo com os códigos locais de prevenção de incêndios. Em períodos de grande atividade. a equipe de segurança deve proteger essas regiões. é conveniente que a) sistemas adequados de detecção de intrusos sejam instalados de acordo com normas internacionais. c) algumas das portas corta-fogo do perímetro de segurança sejam providas de alarme. b) Se queremos proteger a informação. alternativa a alternativa: a) É razoável que sistemas de detecção de intrusos sejam testados em intervalos regulares.estrategiaconcursos.com. Prof. Victor Dalton www. monitoradas e testadas. é razoável que se evite a colocação de instalações de processamento da informação da empresa junto às instalações de terceiros.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 17ª Questão) (FCC – ISS/SP – Auditor-Fiscal Tributário Municipal I – Tecnologia da Informação – 2012) Com relação aos perímetros de segurança física para proteger as áreas que contenham informações e instalações de processamento da informação. d) as áreas não ocupadas sejam protegidas por alarmes apenas em períodos em que não haja grande fluxo de trabalho. Se são áreas com grande movimentação de pessoas.CONCURSEIROSUNIDOS. pois obedecem a regulamentações internacionais. c) Bombeiros emitem alvará para quê? Óbvio que as portas corta-fogo precisam estar de acordo com a legislação local. e) a localização e a capacidade de resistência de cada perímetro dependam dos requisitos de segurança dos ativos existentes no interior do perímetro. a equipe de segurança deve monitorar essas áreas. Se são áreas não ocupadas. para estabelecer o nível de resistência exigido. Errada. o alarme deve estar ligado o tempo todo.br 74 de 143 WWW. Errada. Errada.

c) determinar o valor da informação. O objetivo é a alternativa e). 19ª Questão) (FCC – TCE/CE – Analista de Controle Externo – Tecnologia da Informação – 2009) A implementação de uma política de mesa limpa e tela limpa é uma regra de controle de acesso que deve ser estabelecida formalmente no processo de a) gerenciamento de acesso à aplicação e à informação. e) controle de acesso à rede. a integridade e a disponibilidade da informação. c) responsabilidades dos usuários.CONCURSEIROSUNIDOS. Mesa limpa. Quem cuidará disso? Prof.com. Victor Dalton www. são citados procedimentos do processo de classificação da informação. evitando deixar o monitor ligado expondo informações sigilosas. e) assegurar que as informações recebam um nível adequado de tratamento e de proteção.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 18ª Questão) (FCC – TCE/CE – Analista de Controle Externo – Tecnologia da Informação – 2009) Um processo de classificação da informação tem por objetivo a) estabelecer a quantidade de categorias de classificação e os benefícios obtidos pelo seu uso. a sensibilidade e a criticidade para a organização. não deixar papéis e mídias importantes sobre a mesa. e tela limpa. os requisitos legais e as medidas especiais de tratamento. Questão inteligente. ou seja. os requisitos legais.ORG .br 75 de 143 WWW.estrategiaconcursos. b) gerenciamento de acesso do usuário. b) determinar o valor da informação. d) controle de acesso ao sistema operacional. das alternativas a) a d). “assegurar que as informações recebam um nível adequado de tratamento e de proteção”. d) analisar a confidencialidade. viu? A “sacada” dela é você perceber que.

estrategiaconcursos. não precisaria existir um processo para classificar a informação! O nível de proteção será atribuído conforme sensibilidade. e) Quando se torna pública. Errada. d) A responsabilidade de definir a classificação de um ativo. Vamos encontrar mais falhas? a) ”O mesmo nível de proteção deve ser identificado e aplicado a todos os ativos de informação”.com. b) Correta! c) Errado! Qualquer característica da informação relevante para a sua classificação pode (e deve) ser levado em conta.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Alternativa c). O mesmo nível de proteção deve ser identificado e aplicado a todos os ativos de informação. b) Um sistema de classificação da informação deve ser usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento. c) A informação deve ser classificada exclusivamente em termos do seu valor. Errada. 20ª Questão) (FCC – TCE/AP – Analista de Controle Externo – Tecnologia da Informação – 2012) No que diz respeito à classificação da informação é correto afirmar: a) O proprietário e a classificação da informação devem ser acordados e documentados para cada um dos ativos de informação.CONCURSEIROSUNIDOS. analisá-lo. ou crítica. e) A informação nunca deixa de ser sensível ou crítica.ORG . 21ª Questão) (FCC – TJ/RJ – Analista Judiciário – Analista de Suporte – 2012) Sobre a prevenção de incidentes de segurança da informação e controle de acesso é correto afirmar: Prof. dentre outros. ela naturalmente deixa de ser sensível. sensibilidade e criticidade para a organização.br 76 de 143 WWW. d) Essa responsabilidade é do proprietário do ativo! Errada. Victor Dalton www. Se isso fosse verdade. e assegurar que ele esteja atualizado e no nível apropriado é de todos os funcionários da organização. criticidade e relevância da informação. responsabilidade dos usuários. mesmo quando se torna pública.

Errada. Analisando: a) Ataques DoS em nada se relacionam com a classificação da informação. desde que essas pessoas sejam acompanhadas por um funcionário contratado. Esse ataque é virtual! Errada. para evitar penetração de ruído elétrico. b) Você lê e percebe que esta autorização precisa ser formal ou antecipada. princípios. e) A fiação elétrica do Centro de Processamento de Dados deve ser separada de outras áreas. contratados para consultorias ou quaisquer outros serviços não precisa ser formal ou antecipada. d) Errado! Mídias de backup devem estar distantes do original. É INCORRETO dizer que o documento da política deva conter a) uma breve explanação das políticas.CONCURSEIROSUNIDOS. d) O armazenamento de mídias de backup deve ser próximo de onde se efetua o processamento dos dados. c) Correta! Colabora-se (e muito) para evitar o sniffing se os equipamentos de transmissão de dados estiverem bem protegidos fisicamente. c) Os equipamentos de transmissão de dados devem ser mantidos em locais seguros. normas e requisitos de conformidade de segurança da informação específicos para a organização. para que não sejam afetados por um mesmo desastre.ORG . Victor Dalton www.br 77 de 143 WWW.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 a) Para prevenir contra ataques de negação de serviço deve-se classificar as informações de forma a esclarecer a cada colaborador sobre o que pode ou não ser divulgado. Prof. b) A autorização de acesso para prestadores de serviço. 22ª Questão) (FCC – TRT/6ª Região – Analista Judiciário – Tecnologia da Informação – 2012) Convém que o documento da política de segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação.com. visando evitar o acesso não autorizado a informações por meio de interceptação (sniffer).estrategiaconcursos. e) A fiação elétrica para o CPD deve ser compartilhada com outras áreas e instalações para que não haja penetração de ruído. Errada.

e) eliminar a probabilidade de ocorrência de incidentes de segurança. escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação. políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devam seguir. Vem comigo: a segurança da informação tem como objetivos: Prof. d) recuperar os danos em caso de desastre/incidente. transpor as fronteiras da implantação de dispositivos de hardware ou software.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 b) uma definição de segurança da informação. Usando o bom senso.com. se são os controles as ferramentas que implementam a Seg Info. sem. por exemplo. Tudo tranquilo. a gente encontra as falhas.ORG . apoiando as metas e princípios da segurança da informação. – Analista de Sistemas – 2010) A Segurança da Informação deve ser tratada como um conjunto de mecanismos que garantam a continuidade dos serviços de TI. contudo. em conformidade com a legislação e com requisitos regulamentares e contratuais. Não faz sentido coibir os objetivos de controle. suas metas globais. c) uma declaração do comprometimento da direção. d) referências à documentação que possam apoiar a política.br 78 de 143 WWW.A. que protegem dados armazenados nos bancos de dados. e) uma estrutura para coibir os objetivos de controle. 23ª Questão) (FCC – Sergipe Gás S. entre as alternativas a) a d)? Pois a alternativa e) fala em coibir os objetivos de controle. alinhada com os objetivos e estratégias do negócio.estrategiaconcursos. é correto afirmar que um sistema de segurança da informação tem como finalidade a) implementar sistema de proteção da informação. Victor Dalton www. incluindo a estrutura de análise/avaliação e gerenciamento de risco.CONCURSEIROSUNIDOS. b) eliminar o nível de exposição aos riscos a que estão expostos os ativos de TI. Nesse sentido. Erradíssimo! Deve haver uma estrutura que estimule os objetivos de controle. c) eliminar os riscos contra vazamento de informações confidenciais e/ou sigilosas.

.com. Prof. as organizações não se preocupam. muitas vezes. Tendo esse conceito em mente.br 79 de 143 WWW. Proteger a localização de equipamentos só pode se relacionar com o acesso físico aos mesmos. maximizar o ROI e as oportunidades de negócio. Alternativa b). Nesse contexto..ORG . E pergunta: “Nesse sentido. A garantia da continuidade do negócio envolve procedimentos que visam recuperar-se de um desastre/incidente no menor tempo possível. O enunciado fala da segurança da informação como “conjunto de mecanismos que garantam a continuidade dos serviços de TI”. d) conteúdo. e a alternativa a) peca ao afirmar que a Seg Info não extrapola os limites do hardware e software. Mesmo porque o verbo “eliminar” torna as alternativas b). b) acesso físico.CONCURSEIROSUNIDOS. é correto afirmar que um sistema de segurança da informação tem como finalidade”. esse aspecto é avaliado no Controle de a) acesso lógico. Na auditoria de segurança da informação. e) entrada e saída de dados. garantir a continuidade do negócio em caso de desastre.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03    proteger a informação dos vários tipos de ameaças. não interrompendo os principais processos de negócio da organização. um aspecto básico da segurança que é a localização dos equipamentos que podem facilitar a intrusão. a alternativa d) é a que melhor atende ao enunciado da questão. 24ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – 2013) A auditoria da segurança da informação avalia a política de segurança e os controles relacionados adotados em cada organização. d) e e) incorretas. ou até negligenciam.estrategiaconcursos. c) programas. Victor Dalton www.

na alternativa e).estrategiaconcursos. tudo certo com as alternativas de a) a d). d) A extensão (por exemplo. b) Os procedimentos de recuperação devem ser verificados e testados regularmente. para produzir resultados de acordo com as políticas e objetivos globais de uma organização. quando necessário. Errado! 26ª Questão) (FCC – TRT/12ª Região – Analista Judiciário – Tecnologia da Informação – 2013) A norma ABNT NBR ISO/IEC 27001:2006 promove a adoção de uma abordagem de processo para estabelecer e implementar. c) As mídias de cópias de segurança devem ser testadas regularmente para garantir que sejam suficientemente confiáveis para uso de emergência. objetivos. completa ou diferencial) e a frequência da geração das cópias de segurança devem refletir os requisitos de negócio da organização. operar. manter e melhorar o SGSI de uma organização. analisar criticamente. relevantes para a gestão de riscos e a melhoria da segurança da informação. e) As cópias de segurança devem ser armazenadas no local onde os dados foram processados para facilitar um rápido processo de restauração em caso de desastre. processos e procedimentos do SGSI.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 25ª Questão) (FCC – ISS/SP – Auditor-Fiscal Tributário Municipal I – Tecnologia da Informação – 2012) NÃO é um item a ser considerado para a geração das cópias de segurança: a) A produção de registros completos e exatos das cópias de segurança e de documentação apropriada sobre os procedimentos de restauração da informação é indispensável.ORG . de forma a garantir que estes são efetivos e que podem ser concluídos dentro dos prazos definidos nos procedimentos operacionais de recuperação.com.CONCURSEIROSUNIDOS. Prof. Mais uma vez.br 80 de 143 WWW. O modelo PDCA aplicado aos processos do SGSI é assim descrito pela Norma: Grupo I: − Estabelecer a política. Victor Dalton www. a “velha” pegadinha de armazenar cópias próximo dos originais. E. monitorar.

II. Victor Dalton www.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Grupo II: − Implementar e operar a política. A associação correta dos grupos I. com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente. Resposta certa.ORG . processos e procedimentos do SGSI. objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.estrategiaconcursos. medir o desempenho de um processo frente à política.com. nem tirou o PDCA da sequência. controles. para alcançar a melhoria contínua do SGSI. Prof.CONCURSEIROSUNIDOS. quando aplicável. Grupo IV: − Executar as ações corretivas e preventivas. III e IV com o ciclo PDCA é apresentada em (A) A D P C (B) C A P D (C) D P C A (D) P A D C (E) P D C A Revendo o ciclo PDCA: Essa o examinador aliviou.br 81 de 143 WWW. . Grupo III: − Avaliar e. alternativa e).

28ª Questão) (FCC – TRT/5ª Região – Analista Judiciário –Tecnologia da Informação – 2013) A Norma NBR ISO/IEC 27001:2006 adota o modelo Plan-Do-Check-Act − PDCA. EXCETO: (A) obtenha a autorização dos stakeholders (partes interessadas). legais e/ou regulamentares.br 82 de 143 WWW. e obrigações de segurança contratuais. Este. conforme mostra a figura abaixo. e obrigações de segurança contratuais. na seção que trata do estabelecimento e gerenciamento do SGSI.e 5) tenha sido aprovada pela direção. sua localização. ativos e tecnologia que observe as características listadas abaixo.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 27ª Questão) (FCC – TRT/18ª Região – Analista Judiciário – Tecnologia da Informação – 2013) A Norma NBR ISO/IEC 27001:2006. Segundo a ISO 27001. Prof.ORG . Quem aprova a política do SGSI é a direção. a organização. 2) considere requisitos de negócio. ativos e tecnologia que: 1) inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e princípios para ações relacionadas com a segurança da informação.com. certamente.estrategiaconcursos. é um grupo mais restrito do que os stakeholders da organização. legais e/ou regulamentares. (D) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer.CONCURSEIROSUNIDOS. sua localização. orienta que a organização deve definir uma política do SGSI nos termos das características do negócio. (C) considere requisitos de negócio. 3) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer. 4) estabeleça critérios em relação aos quais os riscos serão avaliados. uma organização deve definir uma política do SGSI nos termos das características do negócio. (B) inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e princípios para ações relacionadas com a segurança da informação. Victor Dalton www. que é aplicado para estruturar todos os processos do SGSI. Alternativa a). (E) estabeleça critérios em relação aos quais os riscos serão avaliados.

estrategiaconcursos. de acordo com a norma NBR ISO 27001 e o modelo de processo adotado. numerados de I a IV na figura acima. alternativa d).br 83 de 143 WWW. a primeira etapa do processo é a) implementar o SGSI.com. Victor Dalton www.CONCURSEIROSUNIDOS. não é mesmo? Resposta certa.ORG .Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Os processos do SGSI que completam corretamente o ciclo PDCA. Prof. são: Já deu pra perceber que o PDCA é peça chave do estudo da ISO 27001. 29ª Questão) (FCC – DPE/SP – Agente de Defensoria –Engenheiro de Redes – 2013) Considerando a implantação do Sistema de Gestão de Segurança da Informação (SGSI).

monitorar. e) testar o SGSI. (CESPE – SERPRO – Analista – Administração de Serviços de Tecnologia da Informação – 2013) No que concerne à norma ABNT NBR ISO/IEC 27002. e) SGCD. implementar. manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). Resposta certa. Correto. ou seja.estrategiaconcursos. Captou o espírito? Alternativa d). o ciclo de atividades. alternativa b). d) PDCA. Prof. A estratégia de processo. d) operar o SGSI.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 b) estabelecer o SGSI. Victor Dalton www. é conhecida como a) CGSI.com. revisar. 31 O documento de política de segurança da informação declara o comprometimento da alta direção da organização e descreve os requisitos de conscientização e treinamento em segurança da informação. c) OECD.ORG . operar. para a gestão da segurança adotada na norma.CONCURSEIROSUNIDOS. julgue o item seguinte.br 84 de 143 WWW. b) DOTC. c) monitorar o SGSI. 30ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – Tecnologia da Informação – 2013) A NBR ISO 27001 foi elaborada com objetivo de prover um modelo para estabelecer.

de registros organizacionais e os direitos de propriedade intelectual muitas vezes são vistos erroneamente como controles essenciais para uma organização. Victor Dalton www.estrategiaconcursos. a partir dos requisitos do negócio para o processamento da informação que a organização desenvolve para realizar suas operações. Errado! A Conformidade é um capítulo da norma que se preocupa com requisitos legais. finalmente.ORG . proteção à propriedade intelectual.com. alinhamento a leis e normas vigentes. Correto. 35 A proteção de dados e privacidade de informações pessoais. já que essa incumbência fica a cargo de empresas privadas responsáveis pala análise de conformidade da prática de empresas às práticas recomendadas tanto pela NBR 27002 quanto pela NBR 27001. dentre outros. 34 Requisitos de segurança da informação podem ser obtidos a partir da análise/avaliação dos riscos da organização com base nos seus objetivos estratégicos.CONCURSEIROSUNIDOS. 33 Uma análise de riscos deve ser realizada periodicamente em um ambiente computacional.br 85 de 143 WWW. 32 A conformidade não é um dos conteúdos da referida norma. pois não visa à obtenção de certificação. que estabelece o código de prática para a gestão da segurança da informação. Correto. principalmente quando houver a mudança nos requisitos de segurança ou quando surgirem novas ameaças ou vulnerabilidades que ponham em risco a segurança. Prof. a partir da legislação vigente.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (CESPE – Banco da Amazônia – Técnico Científico – Segurança da Informação – 2012) Com base nos aspectos gerais da norma ABNT NBR ISO/IEC 27002. julgue os itens que se seguem. e.

Victor Dalton www. auditores. Errado! “Convém que todos os ativos sejam inventariados e tenham um proprietário responsável.ORG . questões legais. veda-se. ou seja. 36 A norma em apreço estabelece diretrizes e princípios para a segurança da informação. pois a implementação é de responsabilidade do SGSI. 37 Cabe exclusivamente aos gestores e administradores a coordenação da segurança da informação dentro de uma organização. recursos humanos.. TI e gestão de riscos. desenvolvedores.” 38 A responsabilidade por um ativo de informação na organização deve ser atribuída às equipes de suporte estabelecidas e nomeadas.br 86 de 143 WWW. Errado! É objetivo da norma que os objetivos de controle e os controles garantam o atendimento aos requisitos de segurança da informação. só devem ser classificadas as informações que possuam algum valor para a organização. administradores. Errado! “Convém que a coordenação da segurança da informação envolva a cooperação e colaboração de gerentes. De acordo com a norma vigente.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Errado! Naturalmente que esses controles são essenciais.” Imagina se os ativos inventariados não tivessem responsáveis. responsabilizar um usuário por um ativo inventariado. objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002.com.CONCURSEIROSUNIDOS.estrategiaconcursos. por exemplo. usuários. 39 Em gestão da segurança da informação. julgue os itens. aquelas cuja Prof. no entanto a implementação de seus objetivos de controles e dos controles não garante o atendimento aos requisitos de segurança da informação.. (CESPE – Banco da Amazônia – Técnico Científico – Segurança da Informação – 2012) Com relação a conteúdo prático. pessoal de segurança e especialistas com habilidades nas áreas de seguro. todos previstos no capítulo de Conformidade.

Prof.” Não há restrições apenas para informações valorosas. Errado! O Documento da Política de Segurança da Informação deve conter. nessa norma. sensibilidade e criticidade para a organização.CONCURSEIROSUNIDOS. Errado! “Convém que a informação seja classificada em termos do seu valor. não ao que se evita. naturalmente. 3) gestão da continuidade do negócio. não havendo. requisitos legais. não faz parte do tratamento do risco. sensibilidade e criticidade para a organização. treinamento e educação em segurança da informação. de modo a eliminar a ocorrência de suas consequências e. Errado! MATE os riscos! Mitigar.br 87 de 143 WWW. dentre outros: 1) conformidade com a legislação e com requisitos regulamentares e contratuais. Errado! “Convém que a informação seja classificada em termos do seu valor. 40 Uma informação deve ser classificada de acordo com os seus requisitos de confidencialidade. 42 As consequências da violação da política de segurança devem ser incluídas em um plano de tratamento de riscos.ORG .com. pois o tratamento refere-se ao risco que se toma. mas não devem fazer parte do documento da política em si.estrategiaconcursos. indicação de parâmetros para outros tipos de requisitos a serem considerados. integridade e disponibilidade. aceitar. 2) requisitos de conscientização. transferir e evitar. a realização da atividade que o ocasionaria.” 41 A ação de se evitar um risco. Victor Dalton www.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 divulgação traga algum malefício financeiro ou de imagem a qualquer indivíduo que nela trabalhe. requisitos legais.

Correto. à luz do resultado do desempenho do processo e de acordo com a política de segurança da informação. 43 Segundo a citada norma.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 4) consequências das violações na política de segurança da informação. declarações que esclareçam termos e condições de trabalho de recursos humanos. Errado! Antes de contratar adotam-se critérios para selecionar os funcionários. no gerenciamento de operações e comunicações preconizado pela norma 27002. Victor Dalton www. procedimentos de reinicialização e planos de contingência. educação e conscientização de pessoas apenas antes da contratação.ORG . Prof. Correto. Correto.br 88 de 143 WWW. conscientização e educação de pessoas ocorre durante o período de contratação. 45 Recuperação de erros. 46 A norma referida recomenda que se realizem treinamento. convém que a política de segurança seja analisada crítica e periodicamente. para assegurar que os novos recursos humanos saibam agir com segurança diante das atividades a serem desenvolvidas por eles.CONCURSEIROSUNIDOS.com. incluindo até responsabilidades que se estendam para fora das dependências da organização e fora dos horários normais de trabalho. 44 A norma em questão recomenda que sejam incluídas. apesar de serem bem específicos ao processo de aceitação de sistemas. Treinamento.estrategiaconcursos. na política de segurança da informação. devem ser considerados para minimizar os riscos de falhas de sistemas.

49 De acordo com a referida norma.º 27. Errado! A informação operacional deverá ser apagada do aplicativo em teste IMEDIATAMENTE após completar-se o teste. VPN é um recurso confiável. (CESPE – Ministério das Comunicações – Atividade Técnica de Complexidade Gerencial – Especialidade 25 – 2013) A respeito da norma NBR ISO/IEC 27. 50 A norma NBR citada acima prevê onze seções sobre o tratamento de riscos de segurança da informação. enfim.002 da ABNT. que juntas totalizam 39 categorias principais de segurança e uma seção introdutória que aborda a análise/avaliação e o tratamento de riscos. mesmo em redes sem fio. seções e etapas são aplicáveis apenas a organizações de grande envergadura. independentemente do porte. são 11 seções de controles de segurança da informação. Correto.002:2005. a respeito da norma NBR ISO/IEC 27002. Prof. julgue os itens a seguir.ORG .br 89 de 143 WWW. 48 A utilização de VPN (virtual private network) entre o usuário e o ponto de acesso que difunde o sinal em uma rede wireless garante confidencialidade e integridade ao tráfego da rede. (CESPE – ANTT – Analista Administrativo – Infraestrutura de TI – 2013) Julgue os itens subsequentes. Errado! Qualquer organização.estrategiaconcursos. Errado! Que questão de prova desnecessária! Mas. 47 As informações operacionais incluídas no ambiente antes dos testes de intrusão devem ser nele mantidas após o teste.CONCURSEIROSUNIDOS.com. Victor Dalton www. todos os itens de controle. pode adotar a ISO 27002.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (CESPE – Banco Central do Brasil – Analista – Área 2 – 2013) Julgue os itens a seguir com base na norma NBR ISO/IEC n.

Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 51 Na implementação de segurança física e segurança do ambiente em uma organização. Errado! A implementação dos controles de segurança pode ser delegada. Errado! Quase tudo certo. Deve ainda ser implantada uma área de recepção.CONCURSEIROSUNIDOS. Errado! As senhas devem ser modificadas no primeiro acesso e não podem ser incluídas em nenhum processo automático de acesso ao sistema. armazenadas em um macro ou funções-chave. Nada disso! Restritos somente ao pessoal autorizado! Nem todo mundo que é da organização deverá ter acesso a áreas seguras! 52 Na gestão dos ativos. 53 De acordo com a norma em questão. Prof. danos e interferências com as instalações e com as informações da organização. cujo objetivo principal é manter a proteção adequada dos ativos da organização.. devem ser definidas áreas seguras para prevenir acessos físicos não autorizados. é importante que os principais ativos de informação sejam inventariados e atribuídos a um proprietário responsável que. como os que utilizam macro e tokens. mas olha a pegadinha! “.br 90 de 143 WWW.ORG . as senhas devem ser modificadas no primeiro acesso ao sistema e devem ser incluídas em processos automáticos de acesso ao sistema. por questão de segurança. embora o proprietário do ativo permaneça responsável pelo mesmo.restritos somente ao pessoal da organização”. por exemplo.estrategiaconcursos. pelas mesmas pessoas para reduzir as oportunidades de modificação. de modo que o acesso a locais definidos como área seguras fiquem restritos somente ao pessoal da organização.. funções e áreas de responsabilidade devem ser realizadas de forma conjunta.com. não pode delegar a implementação dos controles. 54 Na aplicação de controle de segurança. Errado! Responsabilidades como as supracitadas devem ser segregadas para evitar fraudes e erros. Victor Dalton www.

dispensa-se o controle do SGSI no que diz respeito a segurança da informação. 58 Entre os controles referentes ao gerenciamento de acesso do usuário. não é mesmo? Mesmo para produtos de TI adquiridos de terceiros. Controle A.8.10.4. informações não confidenciais.2. para que não sofram modificações não autorizadas. em acordo com terceiros referente à aquisição de produtos de TI. públicas.2. 56 A violação da política de segurança da informação deve ser apurada por meio da aplicação de processo disciplinar formal: é o que estabelece o controle de processo disciplinar contido no grupo de controle de segurança em recursos humanos. Victor Dalton www. julgue os itens subsequentes. Correto.9. tendo-se em vista assegurar o acesso autorizado e prevenir o não autorizado.com.ORG . Errado! A questão já “soa” errada.estrategiaconcursos. Prof.12. 57 A integridade de informações disponibilizadas em sistemas acessíveis publicamente não precisa ser alvo da política de segurança. visto que são. ou seja. Controle A. por natureza. 55 Conforme prevê a norma em apreço. Correto.1.3.11. Controle A.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (CESPE – Banco da Amazônia – Técnico Científico – Segurança da Informação – 2012) No que se refere aos objetivos de controle. deve-se “garantir que segurança é parte integrante de sistemas de informação” – A. contidos no Anexo A (normativo) ABNT NBR ISO/IEC 27001. Errado! Mesmo as informações públicas devem ser influenciadas pela política de segurança da informação.CONCURSEIROSUNIDOS. o anexo em questão estabelece que a análise crítica de direitos de acesso dos usuários deve ser feita por meio de um processo formal e conduzida em intervalos regulares.br 91 de 143 WWW.3.

detalhando os ativos dentro do escopo do SGSI e os seus proprietários.1. O que o enunciado cita está relacionado à Identificação dos Riscos. Prof. julgue os itens a seguir. a organização deve elaborar uma declaração de aplicabilidade. em razão de seu caráter privativo. Faz parte da etapa Implementar e Operar o SGSI. Errado! A Declaração de Aplicabilidade se relaciona aos objetivos de controles que: 1) foram selecionados.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 59 A referida norma é explícita ao afirmar que. bem como as possíveis ameaças aplicadas a tais ativos e as vulnerabilidades por elas exploradas. as políticas e procedimentos de segurança de uma organização não podem ser expostos à opinião de outros. 61 Segundo a norma ISO/IEC 27001:2006. por ocasião do Estabelecimento do SGSI. 60 De acordo com a norma ISO/IEC 27001:2006. Victor Dalton www. Errado! Contatos apropriados com grupos de interesses especiais ou outros fóruns especializados de segurança da informação e associações profissionais devem ser mantidos. o que impossibilita contatos com grupos de interesses especiais ou ainda a promoção de fóruns especializados de segurança da informação e associações profissionais.estrategiaconcursos. não está diretamente relacionado aos ativos e ao conteúdo descrito no enunciado.ORG . os recursos.com.br 92 de 143 WWW. a formulação de um plano de tratamento de riscos que identifique a ação apropriada.CONCURSEIROSUNIDOS. as responsabilidades e as prioridades para a gestão de riscos está relacionada à etapa Do do ciclo PDCA.7. Correto. Portanto. 2) estão atualmente implementados. Controle A. (CESPE – Polícia Federal – Perito – Área 3 – 2013) Com relação à norma ISO/IEC 27001:2006. e 3) foram excluídos justificativa para sua exclusão.6. e as razões para sua seleção.

menos a pegadinha no final. Correto. em concordância com a política de segurança da informação. O documento da política de segurança da informação necessita da aprovação da direção da organização e deve ser publicado e comunicado para todos os funcionários e partes externas relevantes. adequação e eficácia. como seguradoras e fornecedores. não devendo ser alterado a partir de então.estrategiaconcursos. para assegurar a sua contínua pertinência. uma vez que “a política de segurança da informação deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem. de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Errado! Tudo certo.br 93 de 143 WWW. Questão maldosa! Prestou atenção no “plenamente”? 64 Uma política de segurança da informação deve fornecer orientação e apoio da direção para a segurança da informação. (CESPE – TCE/ES – Auditor de Controle Externo – Tecnologia da Informação – 2012) Segundo as normas NBR ISO/IEC 27001 e 27002. são estabelecidos controles que regem o uso e a configuração de códigos móveis claramente autorizados. 63 O gerenciamento de acesso do usuário é plenamente implementado pelos seguintes controles: registro de usuário. gerenciamento de privilégios e gerenciamento de senha do usuário.” 65 Na NBR ISO/IEC 27001. Errado! Faltou a Análise crítica dos direitos de acesso do usuário.com. bem como a possibilidade de transferência dos riscos para outras partes. julgue os itens a seguir.ORG . no estabelecimento do Sistema de Gestão da Segurança da Informação (SGSI). cujas ações englobam a aceitação consciente dos riscos (desde que satisfaçam às políticas estabelecidas dentro da organização).Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 62 Segundo a norma ISO/IEC 27001:2006.CONCURSEIROSUNIDOS. Saber que a identificação dos riscos ocorre no estabelecimento do SGSI é uma ideia forte para acertar esse tipo de questão. a respeito de gestão de segurança da informação. Prof. devem-se identificar e avaliar as opções para o tratamento de riscos. Victor Dalton www.

o escopo do SGSI e o plano de tratamento de risco. estão incluídas a declaração da política do SGSI. Controle A.1) 67 Na etapa de melhoria do SGSI. mas sim “metodologias para análise/avaliação” dos riscos.CONCURSEIROSUNIDOS. A Norma ISO 27001 não cita o termo “estratégia de avaliação dos riscos”. refere-se a sistema – Administração de Serviços de respeito da norma ABNT NBR ISO/IEC sentido.com. julgue os itens a seguir. Também fazem parte procedimentos e controles que apoiam o SGSI.2: “Onde o uso de códigos móveis é autorizado. que é importante para a preparação da declaração de aplicabilidade. Prof. (item 4. Errado! Ocorre na fase de Monitorar e analisar criticamente o SGSI. descrição da metodologia de análise/avaliação de riscos. Nesse sempre que utilizada. Victor Dalton www. gestão de segurança da informação. relatório de análise/avaliação de riscos. a configuração deve garantir que o código móvel autorizado opere de acordo com uma política de segurança da informação claramente definida e que códigos móveis não autorizados tenham sua execução impedida. 69 Para assegurar que o SGSI continua conveniente com a realidade da organização.br 94 de 143 WWW. 66 Entre os documentos que fazem parte da documentação de um SGSI.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Correto. a direção deve analisá-lo em intervalos planejados. Errado! Questão maldosa. Correto. outros procedimentos documentados requeridos pela organização e a Declaração de Aplicabilidade.estrategiaconcursos.4. 68 Para se estabelecer um SGSI.ORG .” (CESPE – SERPRO – Analista Tecnologia da Informação – 2013) A 27001.10. é necessário definir a estratégia de avaliação dos riscos. considere que a sigla SGSI.3. ocorrem as auditorias internas em intervalos planejados.

devem-se executar as ações corretivas e preventivas necessárias para alcançar a melhoria contínua do SGSI. Errado! A etapa do corresponde à implementar e operar o SGSI. 70 A execução de procedimentos e controles para identificar tentativas e falhas de segurança e incidentes que foram bem-sucedidos faz parte da etapa de implementação e operação do SGSI. Memorize a tabela abaixo! Prof. Victor Dalton www. julgue os itens subsequentes.CONCURSEIROSUNIDOS. devem ser considerados não apenas os procedimentos de recuperação das atividades. A etapa do (fazer) corresponde a manter e melhorar os sistemas de gestão de segurança da informação (SGSI). 72 Pode ser identificada uma equivalência entre o modelo de gestão PDCA (plan-do-check-act) e a estrutura proposta pela norma ISO-IEC 27001.estrategiaconcursos.com. 71 Na elaboração do plano de continuidade do negócio de uma organização. mas também os procedimentos de emergência após a ocorrência de um incidente. ou seja. Correto. Errado! Tais procedimentos são executados na etapa de monitoração e avaliação do SGSI. (CESPE – SERPRO – Analista – Negócios em Tecnologia da Informação – 2013) Acerca da segurança da informação.br 95 de 143 WWW.ORG .Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Correto.

com. Aproveitando-se da “inocência” e do treinamento insuficiente do usuário. Documentos eletrônicos protegidos por senhas e níveis de acesso não terão rótulo físico.ORG . sob a alegação de que o computador que recebia a mensagem estava infectado por um vírus. a ferramenta oferecida era um programa malicioso que. Considere ainda que na verdade. por exemplo. por procedimentos e metadados. é correto afirmar que houve um ataque de engenharia social.br 96 de 143 WWW. sugeria que fosse instalada uma ferramenta de desinfecção. em algumas situações.estrategiaconcursos. portanto o tratamento das consequências advindas da violação das normas de segurança não é de sua competência. Correto. supostamente vinda do provedor de Internet. após a instalação. tornou os dados pessoais do usuário acessíveis ao remetente da mensagem. Prof. Correto.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 73 Considere que uma mensagem de correio eletrônico. 74 Os rótulos físicos são a forma mais usada para definir a classificação de uma informação. mas são substituídos. Nessa situação hipotética. Victor Dalton www.CONCURSEIROSUNIDOS. 75 A política de segurança da informação (PSI) deve buscar o comprometimento integral de toda a organização.

Correto.br 97 de 143 WWW. 77 De acordo com a referida norma. Prof. Nesse sentido. se baseia no modelo PDCA (plan do check act). (CESPE – ANTT – Analista Administrativo – Infraestrutura de TI – 2013) Julgue os itens a seguir. 79 No estabelecimento do SGSI. 76 A norma em tela prevê que o SGSI inclua uma estrutura para definir objetivos e estabeleça direcionamento global para ações relativas à segurança da informação. Correto. a organização deve preparar uma declaração de aplicabilidade que inclua os objetivos de controle e controles selecionados e as razões para sua seleção e os objetivos de controle e controles atualmente implementados.CONCURSEIROSUNIDOS. desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos. acerca da norma NBR ISO/IEC 27001:2006. os riscos são aceitáveis.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Errado! Inclusive há a previsão de estabelecimento de processo disciplinar formal para aqueles que violam as normas de segurança. Victor Dalton www. julgue os itens subsecutivos. 78 O processo do Sistema de Gestão de Segurança da Informação (SGSI). considere que a sigla SGSI.ORG .estrategiaconcursos.com. sempre que utilizada. refere-se a sistema de gestão de segurança da informação. estabelecido pela norma NBR ISO/IEC 27001:2006. Correto. (CESPE – Ministério das Comunicações – Atividade Técnica de Complexidade Gerencial – Especialidade 25 – 2013) Em relação aos conceitos básicos da NBR ISO/IEC 27001:2006.

do modelo PDCA (plan. act). claro. Correto.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Correto. apesar de envolver a comparação do risco estimado com critérios de risco predefinidos para determinar a importância do risco em relação à segurança da informação.br 98 de 143 WWW. Errado! Naturalmente faz parte! Na etapa estabelecer o SGSI os riscos são identificados e avaliados. bem como o tratamento destinado aos requisitos legais e regulamentares e às obrigações contratuais de segurança da informação. Correto. Também devem ser apresentados os resultados para a análise crítica pela direção. não faz parte da documentação do SGSI. 80 A avaliação de riscos. (item 4.com. a medição do desempenho de um processo frente à política. Victor Dalton www. 82 Um SGSI é projetado para assegurar a seleção de controles de segurança adequados para proteger os ativos de informação e propiciar confiança às partes envolvidas.CONCURSEIROSUNIDOS. ocorre.3.ORG . 83 A organização deve prover os recursos necessários tanto no estabelecimento quanto na manutenção do SGSI. conforme a necessidade exigida. Prof. do plano de tratamento de riscos. Além. check. além da monitoração e análise crítica do SGSI.1) 81 Na fase check. Correto. do. para assegurar o apoio dos procedimentos de segurança da informação aos requisitos de negócio.estrategiaconcursos. aos objetivos e à experiência prática do SGSI. E a documentação so SGSI deve incluir não só uma descrição da metodologia de análise/avaliação de riscos como também deve conter o relatório de análise/avaliação de riscos.

etc. Por sua vez. Victor Dalton www.ORG . Fazer (Do). (item 4.br 99 de 143 WWW. Não confunda! Uma coisa é o Documento da Política de Segurança da Informação estar disponível a todos os funcionários. que. Acerca desse assunto e com base na especificação de segurança da informação descrita na norma ISO 27001. Tais documentos devem ser protegidos e controlados. manutenção. Todas essas etapas são contempladas nas fases Planejar (Plan). a forma de implantação do SGSI é influenciada por necessidades e objetivos. 86 Não é conveniente que os documentos requeridos pelo SGSI sejam distribuídos para todos os funcionários da organização.estrategiaconcursos. e tamanho e estrutura da organização.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (CESPE – SERPRO – Analista – Suporte Técnico – 2013) 84 De acordo com a norma ISO 27001. atuação. mesmo que estes possam contribuir com o seu conteúdo ou sintam-se responsáveis pela estratégia de segurança adotada na empresa.2) 87 Entre as etapas de monitoração de um SGSI. está prevista a construção de um texto com todos os objetivos de controle e seus respectivos controles. Correto. assim como implantar os controles selecionados para atender aos objetivos de controle. possui conteúdo sensível. Prof. Checar (Check) e Agir (Act). requisitos de segurança. a gestão de riscos é um processo que inclui prevenção. (CESPE – SERPRO – Técnico – Operação de Redes – 2013) A adoção de um sistema de gestão de segurança da informação (SGSI) deve ser uma decisão estratégica para uma organização.3.com. Correto.CONCURSEIROSUNIDOS. análise crítica e auditoria. 85 Na fase de implementação e operação do SGSI. julgue os itens a seguir. detecção e resposta a incidentes. a organização deve executar procedimentos para prontamente determinar se as ações tomadas para solucionar uma violação de segurança foram eficazes. Correto. por conter detalhes sobre avaliação de riscos. processos empregados. Outra coisa são os documentos requeridos pelo SGSI.

Item 8. Tal etapa. está contida em estabelecer o SGSI. (item 8. registrar os resultados das ações executadas e analisar criticamente as ações corretivas executadas. com base nos resultados da auditoria interna.ORG . determinar e implementar as ações corretivas necessárias. para então preparar-se a Declaração de Aplicabilidade. na verdade. Victor Dalton www. 90 Definir requisitos para registrar os resultados de ações executadas é uma forma de prevenção realizada com o objetivo de eliminar as causas de não conformidades potenciais alinhadas aos requisitos do SGSI. Além de identificar não-conformidades.estrategiaconcursos. Correto. Correto. avaliar a necessidade de ações para assegurar que aquelas não-conformidades não ocorram novamente. da análise crítica realizada pela direção ou de outra informação pertinente. é necessário executar as ações corretivas e preventivas.CONCURSEIROSUNIDOS.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Essas informações farão parte da declaração de aplicabilidade que deve ser submetida à autorização e a posterior aprovação pela diretoria da empresa.2 da norma. julgue os itens a seguir. 88 O procedimento documentado que atenda aos requisitos do SGSI para ação corretiva deve definir requisitos para determinar as causas de não conformidades. para se alcançar a melhoria contínua. Errado! Essas ações são executadas na fase manter e melhorar o SGSI.br 100 de 143 WWW.com. Errado! Objetivos de controle e controles devem ser selecionados na Norma. 89 No do (fazer) do modelo PDCA aplicado aos processos do SGSI (sistema de gestão de segurança da informação). (CESPE – TELEBRAS – Especialista – Analista de TI – 2013) Com referência à norma NBR ISO/IEC 27001:2006. Prof.2).

numa situação de ameaça ao negócio da empresa (ou ambiente): O PGC.Transportes . Cada um destes planos é focado em uma determinada variável de risco.Informática.com. Plano de Continuidade Operacional (PCO) e Plano de Recuperação de Desastres (PRD).com.Produtos .br/ant/artigos_mba/artpcn.pdf. ETIPI se refere a a) Eletricidade . c) Plano de Administração Financeira (PAF). Segundo o estudo Plano de Continuidade de Negócio: Planejamento. Plano de Contingência Operacional (PCO) e Plano de Recuperação de Desastres (PRD). as variáveis ETIPI devem ser devidamente consideradas.Planejamento .br 101 de 143 WWW. d) Plano de Gerenciamento de Crises (PGC).Intranet.lyfreitas.Prédios .Informações . de forma a diminuir ou mitigar o impacto causado pelos mesmos. nas atividades que envolvem as respostas aos eventos. voltado para a substituição ou reposição de componentes que venham a ser danificados.Infraestrutura . Desastres se referem a qualquer situação que afeta os processos estratégicos considerados críticos para o funcionamento de uma organização. Resposta certa.CONCURSEIROSUNIDOS. Prof.Internet.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 91ª Questão) (FCC – TCM-PA – Técnico em Informática – 2010) Um Plano de Continuidade de Negócios (PCN) é um conjunto de três outros planos: a) Plano Orçamentário de TI (POTI). c) Energia .estrategiaconcursos.Treinamento . disponível em http://www.ORG .Terminais .Telecomunicações . 92ª Questão) (FCC – TRT/2ª Região – Analista Judiciário – Tecnologia da Informação – 2013) O PCN .Implantação. Plano de Continuidade Operacional (PCO) e Plano de Recuperação de Desastres (PRD). b) Elaboração .Plano de Continuidade de Negócios deve ser planejado antes da ocorrência de desastres. d) Eletricidade . O PCO. b) Plano de Administração Financeira (PAF). Victor Dalton www. um PCN é um conjunto de três outros planos: o Plano de Gerenciamento de Crises (PGC). o Plano de Continuidade Operacional (PCO) e o Plano de Recuperação de Desastres (PRD).Pessoas . Ao criar o PCN. e) Plano Estratégico de TI (PETI). voltado para as atividades que garantam a realização dos processos e o PRD.Informações . alternativa d).Infraestrutura . Plano de Contingência Operacional (PCO) e Plano de Recuperação de Desastres (PRD). Plano de Continuidade Operacional (PCO) e Plano de Recuperação de Desastres (PRD).

alternativa c).Transmissões . (D) como são tratadas as informações pessoais. I – Infraestrutura Segurança Física. O PCN deve ser planejado antes da ocorrência de desastres. Resposta certa.com. Ao criar o PCN/BCP. a continuidade operacional e a recuperação de desastres. dentre outros. deve-se manipular as variáveis ETIPI. As Prof. os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas. Sistemas. T – Telecomunicações – Empresas que fornecem comunicação usando dados e voz. a saber: E – Energia – Operadoras fornecedoras de energia elétrica. I – Informática – Equipamentos. P – Pessoas – Contingência das atividades e atendimento através de Sites Remotos. (C) as regras de uso dos recursos computacionais. (B) quais são os processos críticos de TI que suportam o negócio da organização e os procedimentos necessários para evitar ou mitigar a indisponibilidade dos serviços de TI.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 e) Energia .Processos . sejam elas de clientes.CONCURSEIROSUNIDOS. período de retenção e frequência de execução. usuários ou funcionários. Instalações Elétricas.estrategiaconcursos.br 102 de 143 WWW. etc. como tipo de mídia utilizada.ORG .Intranet . como tamanho mínimo e máximo.Internet. gerenciando crises. para-raios. 93ª Questão) (FCC – SEFAZ/PE – Auditor Fiscal – 2014) O Plano de Continuidade de Negócios (PCN) tem como principal objetivo apontar (A) as regras sobre a realização de cópias de segurança. Victor Dalton www. O Plano de Continuidade do Negócio se preocupa em assegurar a disponibilidade e a segurança do sistema de segurança da informação. para diminuir ou mitigar o impacto causado pelos mesmos. – Localização. (E) as regras sobre o uso de senhas nos recursos computacionais. regra de formação e periodicidade de troca. Conectividade.

mídias removíveis e outros equipamentos. documentação de sistema. uma vez que o acesso ou o uso inadequado podem gerar prejuízos. procedimentos de suporte ou operação. iluminação. na norma. por exemplo aquecimento. habilidades e experiências. (D) físico. tais como a reputação e a imagem da organização. c) ativos físicos: equipamentos computacionais. Somente a alternativa b) está alinhada com o conceito do PCN.br 103 de 143 WWW.com. b) ativos de software: desenvolvimento e utilitários. 94ª Questão) (FCC – TCE/RS – Auditor Público Externo – Técnico em Processamento de Dados – 2014) A gestão de ativos da organização é essencial para a gestão da segurança da informação.ORG . procedimentos de recuperação. trilhas de auditoria e informações armazenadas.estrategiaconcursos. como ativo (A) intangível. A ISO 27002 classifica os ativos em: a) ativos de informação: base de dados e arquivos. como por exemplo. não somente no aspecto da segurança da informação. e) pessoas e suas qualificações. contratos e acordos. eletricidade e refrigeração. Resposta certa. como também do negócio da organização. planos de continuidade do negócio. ferramentas de equipamentos de d) serviços: serviços de computação e comunicações. (E) de serviço. Victor Dalton www. material de treinamento. informações sobre pesquisa. sistemas.CONCURSEIROSUNIDOS. aplicativos.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 alternativas acima apresentam sentenças fictícias e demasiado detalhistas. Prof. a Documentação de Sistema que é classificado. comunicação. f) intangíveis. utilidades gerais. (C) de software. (B) de informação. alternativa b). Na NBR ISO/IEC 27002:2005 são apresentados alguns tipos de ativos. manuais de usuário.

Apenas a alternativa e) ilustra um procedimento de segurança física. Prof.CONCURSEIROSUNIDOS. a implantação da segurança envolve a adoção de mecanismos para a segurança física. para a divulgação das informações comerciais da organização.ORG . As demais ilustram procedimentos de segurança em redes. uma das formas de prover a segurança física em uma organização é (A) criptografar as mensagens transmitidas por meio do correio eletrônico entre todos os setores da organização. juntas. (E) estabelecer que todas as portas corta-fogo do perímetro de segurança sejam providas de alarme. enfim. 96ª Questão) (FCC – TCM/GO – Auditor de Controle Externo – Informática – 2015) A Norma ABNT NBR ISO/IEC 27002:2005 contém 11 seções de controles de segurança da informação que. segurança em nível lógico.com. Cada seção contém um número de categorias principais de segurança da informação e cada categoria principal de segurança da informação contém (A) um conjunto de recomendações testadas e comprovadas em empresas de todos os tamanhos e segmentos que vivenciaram problemas relacionados a riscos de segurança da informação. (B) estabelecer que os acessos aos computadores e estações de trabalho da organização devem utilizar cartões inteligentes (Smart Cards). (D) implantar Firewall em todos os computadores e servidores da organização para monitorar e controlar os acessos.estrategiaconcursos. Victor Dalton www. (C) utilizar protocolos de troca de informação seguros.br 104 de 143 WWW. totalizam 39 categorias principais de segurança. senha. como HTTPS. segurança física envolve a prevenção ao acesso físico (presencial) não autorizado. (B) subcategorias relacionadas apresentando cada uma exemplos práticos de utilização dentro das organizações e os resultados obtidos. De acordo com a NBR ISO/IEC 27002:2005. monitoradas e testadas juntamente com as paredes. Pela referida norma.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 95ª Questão) (FCC – TCE/RS – Auditor Público Externo – Técnico em Processamento de Dados – 2014) No processo de Gestão da Segurança da Informação.

estrategiaconcursos. Victor Dalton www. (D) uma ou mais diretrizes para implementação dos controles de segurança da informação e metas e objetivos a serem alcançados para cada diretriz.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (C) uma introdução. A Norma ABNT NBR ISO/IEC 27002:2005 contém 11 seções de controles de segurança da informação que.CONCURSEIROSUNIDOS. juntas. Cada seção contém um número de categorias principais de segurança da informação e cada categoria principal de segurança da informação contém: a) um objetivo de controle que define o que deve ser alcançado. (E) um objetivo de controle que define o que deve ser alcançado e um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle. cuidados necessários na implementação dos controles de segurança da informação e casos de uso prático. e b) um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle. Diretrizes para a implementação Contém informações mais detalhadas para apoiar a implementação do controle e atender ao objetivo de controle.br 105 de 143 WWW.com. As descrições dos controles estão estruturadas da seguinte forma: Controle Define qual o controle específico para atender ao objetivo do controle. totalizam 39 categorias principais de segurança. 97ª Questão) (FCC – TCM/GO – Auditor de Controle Externo – Informática – 2015) A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002:2005 tem como objetivo apresentar recomendações para Prof. alternativa e). Resposta certa. Algumas destas diretrizes podem não ser adequadas em todos os casos e assim outras formas de implementação do controle podem ser mais apropriadas. uma ou mais recomendações de utilização.ORG .

Resposta certa. um exemplo de ativo do tipo intangível é (A) a reputação da organização.estrategiaconcursos.com. proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil. (E) evitar violação de qualquer lei criminal ou civil. permitindo a tomada de ação corretiva em tempo hábil. alternativa a). Nesse contexto. parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Victor Dalton www. A gestão de incidentes preocupa-se com os incidentes de segurança da informação. (D) garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil. Prof.CONCURSEIROSUNIDOS. Processo de melhoria contínua deve ser aplicado às respostas. Desta forma. regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.br 106 de 143 WWW. e de acordo com a Norma. Responsabilidades e procedimentos devem ser definidos para o tratamento de eventos e fragilidades.ORG . (C) não permitir a interrupção das atividades do negócio. se for o caso. estatutos.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (A) assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados. 98ª Questão) (FCC – CNMP – Analista – Suporte e Infraestrutura – 2015) A Norma NBR ISO/IEC 27002:2005 estabelece um código de prática para a gestão da segurança da informação. de modo a receberem o tratamento adequado em tempo hábil. (B) resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação. De acordo com a Norma.    Fragilidades e eventos relativos a sistemas de informação devem ser informados pelo canal adequado.

principalmente se forem lidar com informações de caráter sigiloso. informações sobre pesquisa. tais como a reputação e a imagem da organização.. sistemas.. É importante também que quaisquer candidatos sejam devidamente analisados. documentação de sistema. manuais de usuário. fraude ou mau uso dos recursos.. habilidades e experiências.br 107 de 143 WWW. por exemplo aquecimento. as . incluindo: a) ativos de informação: base de dados e arquivos. ferramentas de equipamentos de d) serviços: serviços de computação e comunicações. aplicativos. procedimentos de suporte ou operação. especialmente no que tange às responsabilidades de segurança da informação. comunicação. (E) o plano de continuidade do negócio.. procedimentos de recuperação.estrategiaconcursos. Resposta certa.ORG . f) intangíveis. eletricidade e refrigeração.com. 99ª Questão) (FCC – CNMP – Analista – Desenvolvimento de Sistemas – 2015) A Norma ISO/IEC 27002:2005. é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará.. existem vários tipos de ativos. (D) o equipamento de comunicação. Prof. Victor Dalton www. c) ativos físicos: equipamentos computacionais. e) pessoas e suas qualificações. b) ativos de software: desenvolvimento e utilitários. alternativa a). iluminação. mídias removíveis e outros equipamentos. na seção relativa à Segurança em Recursos Humanos. estabelece que: Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros. Portanto. Segundo a ISO 27002.CONCURSEIROSUNIDOS. e os termos e condições de contratação devem ser explícitos.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (B) a base de dados e arquivos. planos de continuidade do negócio. utilidades gerais. A intenção aqui é mitigar o risco de roubo. (C) o serviço de iluminação. trilhas de auditoria e informações armazenadas. material de treinamento. contratos e acordos.

 Responsabilidades pela segurança da informação sejam atribuídas antes da contratação. atualizações e novas versões e que sejam efetuados testes apropriados dos sistemas antes da sua aceitação. Resposta certa. documentados e testados. procedimentos de reinicialização e planos de contingência.ORG . NÃO se trata de controle pertinente ao assunto da recomendação: (A) requisitos de desempenho e de demanda de capacidade computacional. antes de contratar. acordados. Prof.CONCURSEIROSUNIDOS.estrategiaconcursos.com. abaixo. a recomendação estabelecida no item Aceitação de sistemas da NBR ISO/IEC 17799: Convém que sejam estabelecidos critérios de aceitação de novos sistemas.br 108 de 143 WWW. de forma adequada. (C) identificação das aplicações críticas e sensíveis que devem ser processadas internamente. (B) recuperação de erros. Victor Dalton www. a organização deverá definir bem o cargo. de modo a influenciar os termos e condições de contratação. nas descrições de cargos e nos termos e condições de contratação. Convém que os gestores garantam que os requisitos e critérios para aceitação de novos sistemas estejam claramente definidos. quais suas responsabilidades e suas consequentes correlações com a segurança da informação da organização. 100ª Questão) (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia da Informação – 2015) Considere.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 Corresponde corretamente à lacuna: (A) diretrizes organizacionais (B) responsabilidades sociais (C) tendências profissionais (D) descrições de cargo (E) políticas de segurança Para a norma. antes da contratação. Ou seja. alternativa d).

sub item aceitação de sistemas. item Planejamento e Aceitação de Sistemas. de procedimentos operacionais para o (E) concordância sobre o conjunto de controles de segurança utilizados. 101ª Questão) (FCC – TRT/15ª Região – Técnico Judiciário – Tecnologia da Informação – 2015) Segundo a norma ISO 27001 de 2006. alternativa c).CONCURSEIROSUNIDOS. b) recuperação de erros. a Segurança da Informação é um conjunto de medidas que visam proteger e Prof.com. em final de mês.estrategiaconcursos. Item a ser marcado. como. procedimentos de reinicialização e planos de contingência. e exige a leitura da norma. h) evidência de que tenha sido considerado o impacto do novo sistema na segurança da organização como um todo.br 109 de 143 WWW. i) treinamento na operação ou uso de novos sistemas. por exemplo.ORG . Victor Dalton www. d) concordância sobre o conjunto de controles de segurança utilizados. e) manuais eficazes. c) preparação e teste de procedimentos operacionais de rotina para o estabelecimento de padrões. j) facilidade de uso. No gerenciamento das operações e comunicações. g) evidência de que a instalação do novo sistema não afetará de forma adversa os sistemas existentes.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (D) elaboração e teste estabelecimento de padrões. sugerem-se os seguintes controles antes que a aceitação formal seja emitida: a) requisitos de desempenho e de capacidade computacional. f) requisitos de continuidade dos negócios. particularmente nos períodos de pico de processamento. percebemos que ela é bem difícil. uma vez que afeta o desempenho do usuário e evita falhas humanas. Voltando à questão.

102ª Questão) (FCC – TRT/15ª Região – Técnico Judiciário – Tecnologia da Informação – 2015) Sobre as definições aplicadas na NBR ISO/IEC 27001:2006. podem também estar envolvidas. (B) I e IV. Prof. alternativa c). responsabilidade. II. considere: I.CONCURSEIROSUNIDOS. Victor Dalton www. ou uma situação previamente desconhecida.com. integridade e disponibilidade da informação. tais como autenticidade.br 110 de 143 WWW. que possa ser relevante para a segurança da informação. Confidencialidade é a propriedade de que a informação não esteja disponível ou revelada a indivíduos. assegurando-lhes algumas qualidades. (C) irretratabilidade. III. (B) disponibilidade. EXCETO a (A) autenticidade. Irretratabilidade não é um dos princípios basilares da segurança da informação. adicionalmente. não repúdio e confiabilidade. outras propriedades. Está correto o que consta APENAS em (A) III e IV. (D) compatibilidade.ORG .Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 preservar informações e sistemas de informações. Segurança da informação é a preservação da confidencialidade. Incidente de segurança da informação é uma ocorrência identificada de um estado de sistema. Evento de segurança da informação é um evento simples ou uma série de eventos de segurança da informação indesejados ou inesperados. Resposta certa. que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. entidades ou processos não autorizados. IV. (E) integridade. indicando uma possível violação da política de segurança da informação ou falha de controles. serviço ou rede.estrategiaconcursos.

(E) II e IV. mesmo sem ter decorado todo o texto. alternativa b).br 111 de 143 WWW.CONCURSEIROSUNIDOS. Houve inversão entre os conceitos de evento e incidente. Bons estudos! Victor Dalton Prof. você é capaz de olhar para uma questão e. sigo pelo caminho de mostrar a metodologia de cobrança. pois perguntas do estilo “este objetivo de controle pertence a qual seção de controle?” podem ocorrer.com. Entendendo o que eu chamo de “espírito” das normas. Resposta certa.estrategiaconcursos. Por isso. Victor Dalton www.ORG . é importante dominar as seções de controle. e não há muita “manobra didática” para tornar o assunto mais trivial e intuitivo. (D) II e III. vencemos mais uma batalha! As normas são matérias essencialmente teóricas. As demais assertivas estão corretas. percebe que é possível responder acertadamente usando o bom senso. Mesmo assim. CONSIDERAÇÕES FINAIS Pois bem amigos.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (C) I e II.

com regras criptografadas e estrutura matricial e material de priorização dessa política. integridade e distributividade.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 LISTA DE EXERCÍCIOS 1ª Questão) (ESAF – Superintendência de Seguros Privados – Tecnologia da Informação – 2010) Por política de segurança entende-se a) política planejada. válida para os setores críticos da organização. válidas para os responsáveis pela segurança. fiscalizada por toda a organização. respectivamente. b) política elaborada. Salvaguarda da exatidão e completeza da informação e dos métodos de processamento. e) o conjunto de diretrizes e metas elaboradas. sustentada pela alta hierarquia.adaptada) Considere: I.ORG . c) confidencialidade. claramente sustentada pela alta hierarquia da área de informática. claramente sustentada pela alta hierarquia.com. c) política e diretrizes de implantação. d) política elaborada. com regras o mais claro e simples possível. 2ª Questão) (FCC – TRT 24ª Região – Analista Judiciário – Tecnologia da Informação – 2011 . I. claramente sustentada pelos gestores do nível operacional. integridade e disponibilidade. e estrutura gerencial e material de suporte a essa política. com estrutura gerencial de regras de formalização individualizada dessa política nas unidades organizacionais. Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. e estrutura gerencial e material de terceirização de procedimentos. a a) disponibilidade. com técnicas criptográficas o mais claro e simples possível. válida para toda a organização.estrategiaconcursos. quando possível. Victor Dalton www. II. integridade e confiabilidade. implantadas e em contínuo processo de revisão. II e III correspondem. b) confiabilidade.CONCURSEIROSUNIDOS. Prof. em contínuo processo de desenvolvimento. Na ISO/IEC 17799(27002). III. válida para toda a organização. com regras o mais claro e simples possível. claramente sustentada pela alta hierarquia. Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. implantada e imune a revisões. e estrutura gerencial de fiscalização dessa política.br 112 de 143 WWW. implantada e em contínuo processo de revisão.

br 113 de 143 WWW. As denominações dos ativos acima listados. existem vários tipos de ativos em uma organização que devem ser protegidos. ferramentas de desenvolvimento e utilitários. aquecimento. aplicativos.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 d) confidencialidade. requisitos legais. manuais de usuário. inventariados e controlados. recomenda que a informação seja classificada em termos do seu valor. reputação e imagem da organização.com. V. equipamentos de comunicação. IV. trilhas de auditoria e informações armazenadas. sistemas. confiabilidade e disponibilidade. procedimentos de recuperação. iluminação. e) integridade. planos de continuidade de negócios. 3ª Questão) (FCC – SABESP – Técnico em Gestão 01 –Informática – 2014) De acordo com a Norma ABNT ISO/IEC 27002:2005. eletricidade e refrigeração. documentação de sistema. Victor Dalton www. informações sobre pesquisa. II. contratos e acordos. sensibilidade e criticidade Prof. é apresentada em: 4ª Questão) (FCC – TRT/18ª Região – Analista Judiciário –Tecnologia da Informação – 2013) A Norma NBR ISO/IEC 27002:2005. por exemplo. classificados. material de treinamento. III. de acordo com a Norma.ORG .CONCURSEIROSUNIDOS.estrategiaconcursos. que incluem os listados abaixo: I. confiabilidade e disponibilidade. mídias removíveis e outros equipamentos. de computação e comunicações. equipamentos computacionais. base de dados e arquivos. procedimentos de suporte ou operação. na seção que trata da classificação da informação. utilidades gerais.

de forma que sempre haja definições diferentes para ativos iguais ou semelhantes aos usados. de acordo com algumas políticas de inventário de ativos predeterminadas. e de todas as operações de manutenção preventiva e corretiva realizadas. a seguinte diretriz: (A) Sejam mantidos registros de todas as falhas. e assegurar que está atualizada e devidamente inventariada. Esquemas excessivamente complexos podem tornar o uso incômodo e serem inviáveis economicamente ou impraticáveis. (B) as diretrizes para classificação incluam convenções para desclassificação e multiclassificação ao longo do tempo. para a manutenção dos equipamentos.br 114 de 143 WWW.CONCURSEIROSUNIDOS. está de acordo com esta Norma afirmar que convém que (A) a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de acesso livre e rápido às informações e os benefícios positivos que causarão aos negócios. (B) A manutenção e os consertos dos equipamentos sejam realizados somente por pessoal terceirizado. indicado pelo fornecedor. (E) atenção especial seja dada aos documentos de outras organizações. De acordo com a Norma. analisando-a criticamente a intervalos regulares. Em relação às diretrizes para a implementação desta classificação. suspeitas ou reais. de forma que todas as informações sensíveis sempre sejam eliminadas do equipamento. (D) cuidados sejam tomados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 para a organização. (C) seja de responsabilidade do custodiante definir a multiclassificação da informação.estrategiaconcursos. (C) A manutenção seja realizada em intervalos seguindo a regra: equipamentos caros devem ter manutenção a cada 60 dias e equipamentos mais baratos a cada 6 meses. Prof.com. (D) Sejam implementados controles apropriados antes da manutenção.ORG . Victor Dalton www. 5ª Questão) (FCC – TRT/5ª Região – Analista Judiciário –Tecnologia da Informação – 2013) A Norma NBR ISO/IEC 27002:2005 recomenda que os equipamentos tenham uma manutenção correta para assegurar sua disponibilidade e integridade permanentes. convém que seja levada em consideração.

segurança da informação. implementar. A Norma apresenta alguns termos e definições. segurança da informação. manter e melhorar a gestão de segurança da informação em uma organização. podem também estar envolvidas. como os descritos abaixo: I. risco de segurança da informação. incidente de segurança da informação. II e III são. responsabilidade. Prof. III. pelo controle a) Remoção de propriedade. (C) política. da integridade e da disponibilidade da informação. preservação da confidencialidade.ORG . procedimentos.estrategiaconcursos. adicionalmente. respectivamente: (A) diretriz. o objetivo de garantir a operação segura e correta dos recursos de processamento da informação é atendido. risco.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (E) Sejam atendidas apenas as exigências estabelecidas nas apólices de seguro que não interfiram na programação interna de manutenção definida na empresa. diretrizes. 7ª Questão) (FCC – TJ/PE – Analista Judiciário – Análise de Suporte – 2012) Segundo a Norma 27002. proteção da informação. é indicado por um simples evento ou por uma série de eventos de segurança da informação indesejados ou inesperados. 6ª Questão) (FCC – TRT/12ª Região – Analista Judiciário –Tecnologia da Informação – 2013) A Norma ISO/IEC 27002:2005 estabelece diretrizes e princípios gerais para iniciar. outras propriedades. forma de gerenciar o risco. Victor Dalton www. que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. técnica. II. b) Manutenção dos equipamentos. de gestão ou legal. não repúdio e confiabilidade. Os termos referenciados em I. (B) controle do risco. gerenciamento da informação. proteção da informação. ameaça da segurança da informação.CONCURSEIROSUNIDOS.br 115 de 143 WWW. (D) controle. práticas ou estruturas organizacionais. dentre outros. (E) tratamento do risco. tais como autenticidade.com. incluindo políticas. que podem ser de natureza ad ministrativa. vulnerabilidade da segurança da informação.

a) Apenas I e II são verdadeiras. teste e de produção. II e III são verdadeiras. 10ª Questão) (FCC – Banco Central do Brasil – Analista Área 1 – 2006 . I. c) Trabalhando em áreas seguras. É recomendável estabelecer regras para o uso aceitável de ativos associados aos recursos de processamento da informação.estrategiaconcursos.Analista de Finanças e Controle – Infraestrutura de TI – 2008) Considerando uma adequada gestão de riscos para a segurança da informação. e) Acesso do público nas áreas de entrega e de carregamento. uma vez que esta considera ameaças.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 c) Entrega de serviços.adaptada) Sobre avaliação dos riscos de segurança. vulnerabilidades e impactos em função dos negócios da organização. c) Apenas I e III são verdadeiras. 8ª Questão) (FCC – TJ/PE – Técnico Judiciário –Suporte Técnico – 2012) O objetivo de prevenir o acesso físico não autorizado. II. É recomendável estabelecer responsabilidades e procedimentos de gestão para assegurar respostas rápidas e efetivas a incidentes de segurança. considerar novas ameaças e vulnerabilidades aos ativos. bem como os danos e interferências com as instalações e informações da organização. e) I.CONCURSEIROSUNIDOS. 9ª Questão) (ESAF . deve-se I.ORG . III.br 116 de 143 WWW. e) Gestão de capacidade. a análise de riscos de segurança. d) Controles de entrada física. II e III são falsas. É recomendável efetuar. d) Segregação de funções. NÃO é atendido pelo controle a) Separação dos recursos de desenvolvimento. d) I. criticamente. Prof. segundo a norma NBR ISO/IEC 17799(27002). Victor Dalton www. b) Perímetro de segurança física. b) Apenas II e III são verdadeiras.com. analise as afirmações a seguir e assinale a opção correta. definido na Norma 27002. II. desconsiderar as mudanças nos requisitos do negócio e suas prioridades.

forma metódica. inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco). III e IV. também seja realizada periodicamente. II.ORG resultados . d) I e III. IV. priorizar a avaliação dos novos controles sobre os controles já implementados. b) I. para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco. III e IV. Victor Dalton www.com. realizar análises críticas periódicas. se necessário. É correto o que consta APENAS em a) III e IV.2011) De acordo com a ISO/IEC 27002:2005. apenas. b) II e IV. II e IV. c) II. vulnerabilidades.estrategiaconcursos. nos ativos. impactos. e) I e II. apenas. apenas. e) II e IV. 11ª Questão) (FCC – INFRAERO – Analista de Sistemas – Desenvolvimento e Manutenção . tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas.br 117 de 143 WWW.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 III. seja realizada de comparáveis e reproduzíveis. capaz de gerar Está correto o que consta em a) I. ou seja. IV. avaliação do risco e quando uma mudança significativa ocorrer. ameaças. d) I e III.CONCURSEIROSUNIDOS. Prof. apenas. convém que a análise/avaliação de riscos: I. c) II e III. II. III.

b) uma forma de garantir o comprometimento dos colaboradores em manter a confidencialidade da senha é incluir uma cláusula no termo de confidencialidade dessas senhas. seguradoras ou fornecedores. b) evitar riscos. e) uma senha temporária deverá ser alterada quando o colaborador achar necessário. é correto afirmar que a) os privilégios de acesso por meio de senha devem estar restritos à necessidade real de cada usuário ou grupo de usuários. para cada um dos riscos identificados. seguindo a análise/avaliação de riscos.com. c) conhecer e objetivamente aceitar os riscos. d) a prática dos colaboradores emprestarem senhas.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 12ª Questão) (FCC – INFRAERO – Analista de Sistemas – Segurança da Informação . conduzidos pelo processo de negócio. uma decisão sobre o tratamento do risco precisa ser tomada. tanto para acesso à rede quanto aos sistemas e ao banco de dados.CONCURSEIROSUNIDOS. d) ignorar os riscos. e) aplicar controles apropriados para reduzir os riscos.estrategiaconcursos. apesar desse procedimento não ser juridicamente legal. não permitindo ações que poderiam causar a ocorrência de riscos.ORG . Uma possível opção para o tratamento do risco NÃO inclui a) transferir os riscos associados para outras partes. por exemplo. 13ª Questão) (FCC . é sinal de que uma nova Política de Segurança deve ser criada.2011) De acordo com a ISO/IEC 27002:2005. sistema de informação ou sistema operacional da rede.INFRAERO – Analista Superior III – Segurança da Informação – 2011) Sobre o uso e gerenciamento de senhas como parte da política de controle de acesso. c) ainda não estão disponíveis tecnologias mais seguras para substituir o uso exclusivo da senha digitada. sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco. Victor Dalton www.br 118 de 143 WWW. Prof. pois os possíveis problemas causados impactam em um custo menor do que o necessário para o seu tratamento.

pois pode haver restrições quanto à exportação ou importação de determinados algoritmos criptográficos.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 14ª Questão) (FCC .br 119 de 143 WWW. sendo necessário usar um rótulo eletrônico. Ao se definir uma política de segurança da informação. é correto afirmar: a) Alguns ativos de informação. como qualquer outro ativo importante. sobretudo de obras protegidas pelo direito de propriedade intelectual.com. os direitos das pessoas. regulamentos e até mesmo recomendações que se aplicam ao negócio. e) Deve-se proteger as informações dos colaboradores. normas. 15ª Questão) (FCC – TRT/2ª Região – Analista Judiciário – Especialidade Informática . fornecedores e clientes. Apesar da melhor das intenções. c) A implementação de controles específicos não pode ser delegada pelo proprietário do ativo. de outras organizações e mesmo do Estado. Sobre os ativos. d) Deve-se identificar todas as leis. b) O inventário do ativo deve incluir apenas seu tipo. a organização cria mecanismos para orientar o comportamento das pessoas. é INCORRETO afirmar: a) O uso de criptografia.2012) A informação é um ativo que. estatutos.ORG . o que se dará pela imposição de restrições e pela determinação de condutas obrigatórias. como documentos em forma eletrônica. que não podem ser cedidas em hipótese alguma. no que diz respeito à legislação. Victor Dalton www. poderão ser infringidos inadvertidamente.INFRAERO – Analista Superior III – Segurança da Informação – 2011) Ao escrever e implementar uma política se segurança da informação. pois essas são as únicas informações relevantes para o caso da recuperação de um desastre.estrategiaconcursos. segundo a Norma ABNT NBR ISO/IEC 27002:2005. Prof. b) A organização deve empenhar esforços no sentido de se manter um inventário de seus ativos de informação. c) A política de segurança da informação deve evidenciar a posição contrária da empresa a qualquer violação de propriedade intelectual. não podem ser fisicamente rotulados. deve estar de acordo com as leis do país. é essencial para os negócios de uma organização.CONCURSEIROSUNIDOS. formato e localização. quer seja para o armazenamento quer para a transferência de informação. mesmo sendo ele o único responsável pelos controles e pela proteção adequada de seus ativos.

estruturas organizacionais e funções de software e hardware. incluindo políticas. e) O processo de compilação de um inventário de ativos é importante.br 120 de 143 WWW. III e IV. Uma política de segurança da informação que reflita os objetivos do negócio. não representa um fator crítico para o sucesso da implementação da segurança da informação dentro de uma organização. de gestão ou legal. A segurança da informação é obtida a partir da implementação de controles adequados.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 d) Todos os ativos devem ter um alto nível de proteção independentemente da sua importância. II e IV. processos.com.estrategiaconcursos. práticas ou estruturas organizacionais. Está correto o que consta em a) I. II. III. e) I e III. IV. apenas.ORG . b) I.CONCURSEIROSUNIDOS. mas não é pré-requisito no gerenciamento de riscos. 16ª Questão) (FCC – TRT/2ª Região – Analista Judiciário – Especialidade Informática . apenas. técnica. c) II e III. incluindo políticas. Victor Dalton www. d) II. apenas. possuem valor para o negócio.2012) Com relação aos controles e à política de segurança da informação de uma organização. procedimentos. II. funcionários e outras partes envolvidas é um fator crítico para o sucesso da implementação da segurança da informação em uma organização. diretrizes. analise: I. procedimentos. apenas. apesar de importante. A distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes. 17ª Questão) (FCC – ISS/SP – Auditor-Fiscal Tributário Municipal I – Tecnologia da Informação – 2012) Com relação aos perímetros de segurança física para proteger as áreas que contenham informações e instalações de processamento da informação. pois. Um controle é uma forma de gerenciar o risco. é conveniente que Prof. que podem ser de natureza administrativa.

c) algumas das portas corta-fogo do perímetro de segurança sejam providas de alarme. Victor Dalton www. e) assegurar que as informações recebam um nível adequado de tratamento e de proteção. e) a localização e a capacidade de resistência de cada perímetro dependam dos requisitos de segurança dos ativos existentes no interior do perímetro. e dos resultados da análise/avaliação de riscos. d) as áreas não ocupadas sejam protegidas por alarmes apenas em períodos em que não haja grande fluxo de trabalho.com. d) analisar a confidencialidade. Prof. a sensibilidade e a criticidade para a organização. pois obedecem a regulamentações internacionais. 19ª Questão) (FCC – TCE/CE – Analista de Controle Externo – Tecnologia da Informação – 2009) A implementação de uma política de mesa limpa e tela limpa é uma regra de controle de acesso que deve ser estabelecida formalmente no processo de a) gerenciamento de acesso à aplicação e à informação. para estabelecer o nível de resistência exigido. b) determinar o valor da informação.br 121 de 143 WWW. monitoradas e testadas. 18ª Questão) (FCC – TCE/CE – Analista de Controle Externo – Tecnologia da Informação – 2009) Um processo de classificação da informação tem por objetivo a) estabelecer a quantidade de categorias de classificação e os benefícios obtidos pelo seu uso.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 a) sistemas adequados de detecção de intrusos sejam instalados de acordo com normas internacionais. por serem parte do patrimônio da organização. b) as instalações de processamento da informação gerenciadas pela organização fiquem fisicamente juntas daquelas que são gerenciadas por terceiros. os requisitos legais. a integridade e a disponibilidade da informação.CONCURSEIROSUNIDOS. elas não precisam funcionar de acordo com os códigos locais de prevenção de incêndios. Em períodos de grande atividade. a equipe de segurança deve monitorar essas áreas. Esses sistemas não precisam ser testados em intervalos regulares. os requisitos legais e as medidas especiais de tratamento. c) determinar o valor da informação.ORG .estrategiaconcursos.

Victor Dalton www. e) A informação nunca deixa de ser sensível ou crítica. analisá-lo. b) Um sistema de classificação da informação deve ser usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.CONCURSEIROSUNIDOS. c) Os equipamentos de transmissão de dados devem ser mantidos em locais seguros. 21ª Questão) (FCC – TJ/RJ – Analista Judiciário – Analista de Suporte – 2012) Sobre a prevenção de incidentes de segurança da informação e controle de acesso é correto afirmar: a) Para prevenir contra ataques de negação de serviço deve-se classificar as informações de forma a esclarecer a cada colaborador sobre o que pode ou não ser divulgado. sensibilidade e criticidade para a organização. d) A responsabilidade de definir a classificação de um ativo. b) A autorização de acesso para prestadores de serviço.com. Prof. d) controle de acesso ao sistema operacional. 20ª Questão) (FCC – TCE/AP – Analista de Controle Externo – Tecnologia da Informação – 2012) No que diz respeito à classificação da informação é correto afirmar: a) O proprietário e a classificação da informação devem ser acordados e documentados para cada um dos ativos de informação. c) A informação deve ser classificada exclusivamente em termos do seu valor. e) controle de acesso à rede. visando evitar o acesso não autorizado a informações por meio de interceptação (sniffer).br 122 de 143 WWW. desde que essas pessoas sejam acompanhadas por um funcionário contratado. O mesmo nível de proteção deve ser identificado e aplicado a todos os ativos de informação.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 b) gerenciamento de acesso do usuário. e assegurar que ele esteja atualizado e no nível apropriado é de todos os funcionários da organização.estrategiaconcursos. contratados para consultorias ou quaisquer outros serviços não precisa ser formal ou antecipada.ORG . mesmo quando se torna pública. c) responsabilidades dos usuários.

A.estrategiaconcursos. 23ª Questão) (FCC – Sergipe Gás S. sem. c) uma declaração do comprometimento da direção. políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devam seguir. b) eliminar o nível de exposição aos riscos a que estão expostos os ativos de TI. transpor as fronteiras da implantação de dispositivos de hardware ou software. É INCORRETO dizer que o documento da política deva conter a) uma breve explanação das políticas.CONCURSEIROSUNIDOS. e) uma estrutura para coibir os objetivos de controle.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 d) O armazenamento de mídias de backup deve ser próximo de onde se efetua o processamento dos dados. alinhada com os objetivos e estratégias do negócio. Prof. c) eliminar os riscos contra vazamento de informações confidenciais e/ou sigilosas. Victor Dalton www. escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação. apoiando as metas e princípios da segurança da informação. incluindo a estrutura de análise/avaliação e gerenciamento de risco. princípios. que protegem dados armazenados nos bancos de dados. suas metas globais. b) uma definição de segurança da informação. – Analista de Sistemas – 2010) A Segurança da Informação deve ser tratada como um conjunto de mecanismos que garantam a continuidade dos serviços de TI. normas e requisitos de conformidade de segurança da informação específicos para a organização. Nesse sentido.ORG . por exemplo. d) referências à documentação que possam apoiar a política. é correto afirmar que um sistema de segurança da informação tem como finalidade a) implementar sistema de proteção da informação. e) A fiação elétrica para o CPD deve ser compartilhada com outras áreas e instalações para que não haja penetração de ruído.br 123 de 143 WWW.com. contudo. em conformidade com a legislação e com requisitos regulamentares e contratuais. 22ª Questão) (FCC – TRT/6ª Região – Analista Judiciário – Tecnologia da Informação – 2012) Convém que o documento da política de segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação.

e) entrada e saída de dados. e) eliminar a probabilidade de ocorrência de incidentes de segurança. 25ª Questão) (FCC – ISS/SP – Auditor-Fiscal Tributário Municipal I – Tecnologia da Informação – 2012) NÃO é um item a ser considerado para a geração das cópias de segurança: a) A produção de registros completos e exatos das cópias de segurança e de documentação apropriada sobre os procedimentos de restauração da informação é indispensável. b) Os procedimentos de recuperação devem ser verificados e testados regularmente.ORG . 24ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – 2013) A auditoria da segurança da informação avalia a política de segurança e os controles relacionados adotados em cada organização. Victor Dalton www. d) A extensão (por exemplo. c) As mídias de cópias de segurança devem ser testadas regularmente para garantir que sejam suficientemente confiáveis para uso de emergência. quando necessário. as organizações não se preocupam. de forma a garantir que estes são efetivos e que podem ser concluídos dentro dos prazos definidos nos procedimentos operacionais de recuperação. esse aspecto é avaliado no Controle de a) acesso lógico. muitas vezes. ou até negligenciam.estrategiaconcursos. d) conteúdo. um aspecto básico da segurança que é a localização dos equipamentos que podem facilitar a intrusão. b) acesso físico.CONCURSEIROSUNIDOS. Nesse contexto. Na auditoria de segurança da informação.br 124 de 143 WWW. e) As cópias de segurança devem ser armazenadas no local onde os dados foram processados para facilitar um rápido processo de restauração em caso de desastre.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 d) recuperar os danos em caso de desastre/incidente. Prof. completa ou diferencial) e a frequência da geração das cópias de segurança devem refletir os requisitos de negócio da organização.com. c) programas.

ORG . operar. quando aplicável. III e IV com o ciclo PDCA é apresentada em (A) A D P C (B) C A P D (C) D P C A (D) P A D C (E) P D C A Prof.CONCURSEIROSUNIDOS. processos e procedimentos do SGSI. com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente. Grupo III: − Avaliar e. controles. medir o desempenho de um processo frente à política. para alcançar a melhoria contínua do SGSI. Grupo II: − Implementar e operar a política. processos e procedimentos do SGSI. A associação correta dos grupos I. II. objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção. objetivos.estrategiaconcursos. O modelo PDCA aplicado aos processos do SGSI é assim descrito pela Norma: Grupo I: − Estabelecer a política.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 26ª Questão) (FCC – TRT/12ª Região – Analista Judiciário – Tecnologia da Informação – 2013) A norma ABNT NBR ISO/IEC 27001:2006 promove a adoção de uma abordagem de processo para estabelecer e implementar. relevantes para a gestão de riscos e a melhoria da segurança da informação.com. monitorar. Grupo IV: − Executar as ações corretivas e preventivas. para produzir resultados de acordo com as políticas e objetivos globais de uma organização. analisar criticamente. Victor Dalton www. manter e melhorar o SGSI de uma organização.br 125 de 143 WWW.

(C) considere requisitos de negócio. ativos e tecnologia que observe as características listadas abaixo. EXCETO: (A) obtenha a autorização dos stakeholders (partes interessadas). legais e/ou regulamentares. conforme mostra a figura abaixo.CONCURSEIROSUNIDOS. que é aplicado para estruturar todos os processos do SGSI. (D) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer.ORG . (B) inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e princípios para ações relacionadas com a segurança da informação. 28ª Questão) (FCC – TRT/5ª Região – Analista Judiciário –Tecnologia da Informação – 2013) A Norma NBR ISO/IEC 27001:2006 adota o modelo Plan-Do-Check-Act − PDCA. (E) estabeleça critérios em relação aos quais os riscos serão avaliados. sua localização. numerados de I a IV na figura acima.com. Os processos do SGSI que completam corretamente o ciclo PDCA. na seção que trata do estabelecimento e gerenciamento do SGSI. Victor Dalton www. são: Prof.estrategiaconcursos.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 27ª Questão) (FCC – TRT/18ª Região – Analista Judiciário – Tecnologia da Informação – 2013) A Norma NBR ISO/IEC 27001:2006. orienta que a organização deve definir uma política do SGSI nos termos das características do negócio.br 126 de 143 WWW. e obrigações de segurança contratuais.

com. operar. b) estabelecer o SGSI. Victor Dalton www. A estratégia de processo. monitorar. para a gestão da segurança adotada na norma.estrategiaconcursos. manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). a primeira etapa do processo é a) implementar o SGSI. e) SGCD. ou seja. revisar. c) OECD. de acordo com a norma NBR ISO 27001 e o modelo de processo adotado. c) monitorar o SGSI.ORG .Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 29ª Questão) (FCC – DPE/SP – Agente de Defensoria –Engenheiro de Redes – 2013) Considerando a implantação do Sistema de Gestão de Segurança da Informação (SGSI). d) operar o SGSI. e) testar o SGSI. b) DOTC. Prof.CONCURSEIROSUNIDOS. implementar.br 127 de 143 WWW. o ciclo de atividades. é conhecida como a) CGSI. d) PDCA. 30ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – Tecnologia da Informação – 2013) A NBR ISO 27001 foi elaborada com objetivo de prover um modelo para estabelecer.

julgue o item seguinte. julgue os itens que se seguem. 36 A norma em apreço estabelece diretrizes e princípios para a segurança da informação. 34 Requisitos de segurança da informação podem ser obtidos a partir da análise/avaliação dos riscos da organização com base nos seus objetivos estratégicos.CONCURSEIROSUNIDOS. 32 A conformidade não é um dos conteúdos da referida norma. (CESPE – Banco da Amazônia – Técnico Científico – Segurança da Informação – 2012) Com base nos aspectos gerais da norma ABNT NBR ISO/IEC 27002. a partir dos requisitos do negócio para o processamento da informação que a organização desenvolve para realizar suas operações.ORG . que estabelece o código de prática para a gestão da segurança da informação. pois a implementação é de responsabilidade do SGSI. finalmente. já que essa incumbência fica a cargo de empresas privadas responsáveis pala análise de conformidade da prática de empresas às práticas recomendadas tanto pela NBR 27002 quanto pela NBR 27001.br 128 de 143 WWW. Prof. 33 Uma análise de riscos deve ser realizada periodicamente em um ambiente computacional. 31 O documento de política de segurança da informação declara o comprometimento da alta direção da organização e descreve os requisitos de conscientização e treinamento em segurança da informação. pois não visa à obtenção de certificação. 35 A proteção de dados e privacidade de informações pessoais.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (CESPE – SERPRO – Analista – Administração de Serviços de Tecnologia da Informação – 2013) No que concerne à norma ABNT NBR ISO/IEC 27002. de registros organizacionais e os direitos de propriedade intelectual muitas vezes são vistos erroneamente como controles essenciais para uma organização. principalmente quando houver a mudança nos requisitos de segurança ou quando surgirem novas ameaças ou vulnerabilidades que ponham em risco a segurança.com. a partir da legislação vigente. no entanto a implementação de seus objetivos de controles e dos controles não garante o atendimento aos requisitos de segurança da informação. Victor Dalton www.estrategiaconcursos. e.

com. responsabilizar um usuário por um ativo inventariado. ou seja. 43 Segundo a citada norma. objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (CESPE – Banco da Amazônia – Técnico Científico – Segurança da Informação – 2012) Com relação a conteúdo prático. julgue os itens. integridade e disponibilidade. não havendo. não ao que se evita. à luz do resultado do desempenho do processo e de acordo com a política de segurança da informação.br 129 de 143 WWW. não faz parte do tratamento do risco. convém que a política de segurança seja analisada crítica e periodicamente. 41 A ação de se evitar um risco. mas não devem fazer parte do documento da política em si. aquelas cuja divulgação traga algum malefício financeiro ou de imagem a qualquer indivíduo que nela trabalhe. De acordo com a norma vigente. 42 As consequências da violação da política de segurança devem ser incluídas em um plano de tratamento de riscos. nessa norma. naturalmente. 38 A responsabilidade por um ativo de informação na organização deve ser atribuída às equipes de suporte estabelecidas e nomeadas. indicação de parâmetros para outros tipos de requisitos a serem considerados. 40 Uma informação deve ser classificada de acordo com os seus requisitos de confidencialidade.estrategiaconcursos. a realização da atividade que o ocasionaria. veda-se.ORG . de modo a eliminar a ocorrência de suas consequências e. 39 Em gestão da segurança da informação. pois o tratamento refere-se ao risco que se toma. Victor Dalton www. Prof. só devem ser classificadas as informações que possuam algum valor para a organização. por exemplo. 37 Cabe exclusivamente aos gestores e administradores a coordenação da segurança da informação dentro de uma organização.CONCURSEIROSUNIDOS.

Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 44 A norma em questão recomenda que sejam incluídas. Victor Dalton www.com. para assegurar que os novos recursos humanos saibam agir com segurança diante das atividades a serem desenvolvidas por eles. 50 A norma NBR citada acima prevê onze seções sobre o tratamento de riscos de segurança da informação. educação e conscientização de pessoas apenas antes da contratação. declarações que esclareçam termos e condições de trabalho de recursos humanos. 49 De acordo com a referida norma.estrategiaconcursos.002:2005.ORG .º 27.CONCURSEIROSUNIDOS. todos os itens de controle. incluindo até responsabilidades que se estendam para fora das dependências da organização e fora dos horários normais de trabalho. no gerenciamento de operações e comunicações preconizado pela norma 27002. procedimentos de reinicialização e planos de contingência.br 130 de 143 WWW. Prof. devem ser considerados para minimizar os riscos de falhas de sistemas. (CESPE – Ministério das Comunicações – Atividade Técnica de Complexidade Gerencial – Especialidade 25 – 2013) A respeito da norma NBR ISO/IEC 27. na política de segurança da informação. 45 Recuperação de erros. (CESPE – Banco Central do Brasil – Analista – Área 2 – 2013) Julgue os itens a seguir com base na norma NBR ISO/IEC n. 46 A norma referida recomenda que se realizem treinamento. apesar de serem bem específicos ao processo de aceitação de sistemas. 47 As informações operacionais incluídas no ambiente antes dos testes de intrusão devem ser nele mantidas após o teste. seções e etapas são aplicáveis apenas a organizações de grande envergadura.002 da ABNT. 48 A utilização de VPN (virtual private network) entre o usuário e o ponto de acesso que difunde o sinal em uma rede wireless garante confidencialidade e integridade ao tráfego da rede. julgue os itens a seguir.

julgue os itens subsequentes. devem ser definidas áreas seguras para prevenir acessos físicos não autorizados. 56 A violação da política de segurança da informação deve ser apurada por meio da aplicação de processo disciplinar formal: é o que estabelece o controle de processo disciplinar contido no grupo de controle de segurança em recursos humanos. funções e áreas de responsabilidade devem ser realizadas de forma conjunta. Prof.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (CESPE – ANTT – Analista Administrativo – Infraestrutura de TI – 2013) Julgue os itens subsequentes. cujo objetivo principal é manter a proteção adequada dos ativos da organização. 55 Conforme prevê a norma em apreço. danos e interferências com as instalações e com as informações da organização. 51 Na implementação de segurança física e segurança do ambiente em uma organização.com.CONCURSEIROSUNIDOS. em acordo com terceiros referente à aquisição de produtos de TI. dispensa-se o controle do SGSI no que diz respeito a segurança da informação. pelas mesmas pessoas para reduzir as oportunidades de modificação. a respeito da norma NBR ISO/IEC 27002. 52 Na gestão dos ativos. Victor Dalton www. 54 Na aplicação de controle de segurança. (CESPE – Banco da Amazônia – Técnico Científico – Segurança da Informação – 2012) No que se refere aos objetivos de controle. não pode delegar a implementação dos controles. é importante que os principais ativos de informação sejam inventariados e atribuídos a um proprietário responsável que. contidos no Anexo A (normativo) ABNT NBR ISO/IEC 27001.ORG . Deve ainda ser implantada uma área de recepção. por questão de segurança.br 131 de 143 WWW. como os que utilizam macro e tokens. de modo que o acesso a locais definidos como área seguras fiquem restritos somente ao pessoal da organização. as senhas devem ser modificadas no primeiro acesso ao sistema e devem ser incluídas em processos automáticos de acesso ao sistema.estrategiaconcursos. 53 De acordo com a norma em questão.

as responsabilidades e as prioridades para a gestão de riscos está relacionada à etapa Do do ciclo PDCA.ORG . os recursos. como seguradoras e fornecedores. 59 A referida norma é explícita ao afirmar que.com. cujas ações englobam a aceitação consciente dos riscos (desde que satisfaçam às políticas estabelecidas dentro da organização). 58 Entre os controles referentes ao gerenciamento de acesso do usuário. em razão de seu caráter privativo. as políticas e procedimentos de segurança de uma organização não podem ser expostos à opinião de outros. públicas.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 57 A integridade de informações disponibilizadas em sistemas acessíveis publicamente não precisa ser alvo da política de segurança.br 132 de 143 WWW. o que impossibilita contatos com grupos de interesses especiais ou ainda a promoção de fóruns especializados de segurança da informação e associações profissionais.estrategiaconcursos. bem como a possibilidade de transferência dos riscos para outras partes. bem como as possíveis ameaças aplicadas a tais ativos e as vulnerabilidades por elas exploradas. julgue os itens a seguir. 62 Segundo a norma ISO/IEC 27001:2006. (CESPE – Polícia Federal – Perito – Área 3 – 2013) Com relação à norma ISO/IEC 27001:2006. Victor Dalton www. 61 Segundo a norma ISO/IEC 27001:2006. visto que são. ou seja.CONCURSEIROSUNIDOS. detalhando os ativos dentro do escopo do SGSI e os seus proprietários. informações não confidenciais. Prof. no estabelecimento do Sistema de Gestão da Segurança da Informação (SGSI). o anexo em questão estabelece que a análise crítica de direitos de acesso dos usuários deve ser feita por meio de um processo formal e conduzida em intervalos regulares. por natureza. devem-se identificar e avaliar as opções para o tratamento de riscos. a organização deve elaborar uma declaração de aplicabilidade. a formulação de um plano de tratamento de riscos que identifique a ação apropriada. tendo-se em vista assegurar o acesso autorizado e prevenir o não autorizado. 60 De acordo com a norma ISO/IEC 27001:2006.

a direção deve analisá-lo em intervalos planejados. que é importante para a preparação da declaração de aplicabilidade. o escopo do SGSI e o plano de tratamento de risco. estão incluídas a declaração da política do SGSI.ORG .Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (CESPE – TCE/ES – Auditor de Controle Externo – Tecnologia da Informação – 2012) Segundo as normas NBR ISO/IEC 27001 e 27002. julgue os itens a seguir. 66 Entre os documentos que fazem parte da documentação de um SGSI. não devendo ser alterado a partir de então. 68 Para se estabelecer um SGSI.br 133 de 143 WWW. a respeito de gestão de segurança da informação. 69 Para assegurar que o SGSI continua conveniente com a realidade da organização. O documento da política de segurança da informação necessita da aprovação da direção da organização e deve ser publicado e comunicado para todos os funcionários e partes externas relevantes. 63 O gerenciamento de acesso do usuário é plenamente implementado pelos seguintes controles: registro de usuário. gestão de segurança da informação. Nesse sempre que utilizada. em concordância com a política de segurança da informação. 67 Na etapa de melhoria do SGSI. 64 Uma política de segurança da informação deve fornecer orientação e apoio da direção para a segurança da informação. considere que a sigla SGSI. refere-se a sistema – Administração de Serviços de respeito da norma ABNT NBR ISO/IEC sentido. 65 Na NBR ISO/IEC 27001. é necessário definir a estratégia de avaliação dos riscos. Victor Dalton www. Prof. são estabelecidos controles que regem o uso e a configuração de códigos móveis claramente autorizados. (CESPE – SERPRO – Analista Tecnologia da Informação – 2013) A 27001. ocorrem as auditorias internas em intervalos planejados. de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.com.estrategiaconcursos.CONCURSEIROSUNIDOS. gerenciamento de privilégios e gerenciamento de senha do usuário. julgue os itens a seguir.

mas são substituídos.estrategiaconcursos. Prof.CONCURSEIROSUNIDOS.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 70 A execução de procedimentos e controles para identificar tentativas e falhas de segurança e incidentes que foram bem-sucedidos faz parte da etapa de implementação e operação do SGSI. por procedimentos e metadados. (CESPE – SERPRO – Analista – Negócios em Tecnologia da Informação – 2013) Acerca da segurança da informação. portanto o tratamento das consequências advindas da violação das normas de segurança não é de sua competência. sugeria que fosse instalada uma ferramenta de desinfecção. devem ser considerados não apenas os procedimentos de recuperação das atividades. tornou os dados pessoais do usuário acessíveis ao remetente da mensagem. mas também os procedimentos de emergência após a ocorrência de um incidente. 71 Na elaboração do plano de continuidade do negócio de uma organização. Nessa situação hipotética. é correto afirmar que houve um ataque de engenharia social. a ferramenta oferecida era um programa malicioso que. Victor Dalton www. 73 Considere que uma mensagem de correio eletrônico. 74 Os rótulos físicos são a forma mais usada para definir a classificação de uma informação. após a instalação.ORG .br 134 de 143 WWW. 75 A política de segurança da informação (PSI) deve buscar o comprometimento integral de toda a organização. devem-se executar as ações corretivas e preventivas necessárias para alcançar a melhoria contínua do SGSI. supostamente vinda do provedor de Internet. julgue os itens subsequentes. sob a alegação de que o computador que recebia a mensagem estava infectado por um vírus.com. Considere ainda que na verdade. ou seja. 72 Pode ser identificada uma equivalência entre o modelo de gestão PDCA (plan-do-check-act) e a estrutura proposta pela norma ISO-IEC 27001. A etapa do (fazer) corresponde a manter e melhorar os sistemas de gestão de segurança da informação (SGSI). em algumas situações.

Victor Dalton www.ORG . 79 No estabelecimento do SGSI. act). Prof. além da monitoração e análise crítica do SGSI. 78 O processo do Sistema de Gestão de Segurança da Informação (SGSI). 77 De acordo com a referida norma. check. do. julgue os itens subsecutivos. do modelo PDCA (plan. 80 A avaliação de riscos. 82 Um SGSI é projetado para assegurar a seleção de controles de segurança adequados para proteger os ativos de informação e propiciar confiança às partes envolvidas. (CESPE – ANTT – Analista Administrativo – Infraestrutura de TI – 2013) Julgue os itens a seguir. acerca da norma NBR ISO/IEC 27001:2006. a medição do desempenho de um processo frente à política. sempre que utilizada.br 135 de 143 WWW.com. estabelecido pela norma NBR ISO/IEC 27001:2006. refere-se a sistema de gestão de segurança da informação. Nesse sentido. os riscos são aceitáveis.CONCURSEIROSUNIDOS. se baseia no modelo PDCA (plan do check act). a organização deve preparar uma declaração de aplicabilidade que inclua os objetivos de controle e controles selecionados e as razões para sua seleção e os objetivos de controle e controles atualmente implementados. desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (CESPE – Ministério das Comunicações – Atividade Técnica de Complexidade Gerencial – Especialidade 25 – 2013) Em relação aos conceitos básicos da NBR ISO/IEC 27001:2006. não faz parte da documentação do SGSI. 76 A norma em tela prevê que o SGSI inclua uma estrutura para definir objetivos e estabeleça direcionamento global para ações relativas à segurança da informação. 81 Na fase check.estrategiaconcursos. aos objetivos e à experiência prática do SGSI. apesar de envolver a comparação do risco estimado com critérios de risco predefinidos para determinar a importância do risco em relação à segurança da informação. ocorre. considere que a sigla SGSI.

está prevista a construção de um texto com todos os objetivos de controle e seus respectivos controles. Fazer (Do). 85 Na fase de implementação e operação do SGSI. Essas informações farão parte da declaração de aplicabilidade que deve ser submetida à autorização e a posterior aprovação pela diretoria da empresa. bem como o tratamento destinado aos requisitos legais e regulamentares e às obrigações contratuais de segurança da informação. análise crítica e auditoria. a forma de implantação do SGSI é influenciada por necessidades e objetivos. mesmo que estes possam contribuir com o seu conteúdo ou sintam-se responsáveis pela estratégia de segurança adotada na empresa. (CESPE – SERPRO – Técnico – Operação de Redes – 2013) A adoção de um sistema de gestão de segurança da informação (SGSI) deve ser uma decisão estratégica para uma organização. Todas essas etapas são contempladas nas fases Planejar (Plan).ORG . detecção e resposta a incidentes. 86 Não é conveniente que os documentos requeridos pelo SGSI sejam distribuídos para todos os funcionários da organização. Checar (Check) e Agir (Act). conforme a necessidade exigida. processos empregados. para assegurar o apoio dos procedimentos de segurança da informação aos requisitos de negócio. assim como implantar os controles selecionados para atender aos objetivos de controle. a organização deve executar procedimentos para prontamente determinar se as ações tomadas para solucionar uma violação de segurança foram eficazes.com.estrategiaconcursos. Acerca desse assunto e com base na especificação de segurança da informação descrita na norma ISO 27001.CONCURSEIROSUNIDOS. (CESPE – SERPRO – Analista – Suporte Técnico – 2013) 84 De acordo com a norma ISO 27001. a gestão de riscos é um processo que inclui prevenção. Por sua vez. manutenção. julgue os itens a seguir.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 83 A organização deve prover os recursos necessários tanto no estabelecimento quanto na manutenção do SGSI. requisitos de segurança.br 136 de 143 WWW. 87 Entre as etapas de monitoração de um SGSI. e tamanho e estrutura da organização. Prof. atuação. Victor Dalton www.

Plano de Contingência Operacional (PCO) e Plano de Recuperação de Desastres (PRD). c) Plano de Administração Financeira (PAF). de forma a diminuir ou mitigar o impacto causado pelos mesmos. Plano de Continuidade Operacional (PCO) e Plano de Recuperação de Desastres (PRD). 89 No do (fazer) do modelo PDCA aplicado aos processos do SGSI (sistema de gestão de segurança da informação). ETIPI se refere a Prof.Plano de Continuidade de Negócios deve ser planejado antes da ocorrência de desastres. 91ª Questão) (FCC – TCM-PA – Técnico em Informática – 2010) Um Plano de Continuidade de Negócios (PCN) é um conjunto de três outros planos: a) Plano Orçamentário de TI (POTI). Desastres se referem a qualquer situação que afeta os processos estratégicos considerados críticos para o funcionamento de uma organização. para se alcançar a melhoria contínua. Plano de Continuidade Operacional (PCO) e Plano de Recuperação de Desastres (PRD). da análise crítica realizada pela direção ou de outra informação pertinente. 92ª Questão) (FCC – TRT/2ª Região – Analista Judiciário – Tecnologia da Informação – 2013) O PCN . b) Plano de Administração Financeira (PAF). julgue os itens a seguir. Plano de Continuidade Operacional (PCO) e Plano de Recuperação de Desastres (PRD). e) Plano Estratégico de TI (PETI). 88 O procedimento documentado que atenda aos requisitos do SGSI para ação corretiva deve definir requisitos para determinar as causas de não conformidades. Victor Dalton www.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (CESPE – TELEBRAS – Especialista – Analista de TI – 2013) Com referência à norma NBR ISO/IEC 27001:2006. Plano de Contingência Operacional (PCO) e Plano de Recuperação de Desastres (PRD).com. é necessário executar as ações corretivas e preventivas.br 137 de 143 WWW. d) Plano de Gerenciamento de Crises (PGC). 90 Definir requisitos para registrar os resultados de ações executadas é uma forma de prevenção realizada com o objetivo de eliminar as causas de não conformidades potenciais alinhadas aos requisitos do SGSI. com base nos resultados da auditoria interna.estrategiaconcursos. as variáveis ETIPI devem ser devidamente consideradas.ORG .CONCURSEIROSUNIDOS. Ao criar o PCN.

Prof.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 a) Eletricidade .Implantação. (E) de serviço. 94ª Questão) (FCC – TCE/RS – Auditor Público Externo – Técnico em Processamento de Dados – 2014) A gestão de ativos da organização é essencial para a gestão da segurança da informação.Intranet. Na NBR ISO/IEC 27002:2005 são apresentados alguns tipos de ativos. na norma.Terminais . e) Energia . (D) físico.Processos . (C) as regras de uso dos recursos computacionais.Informática. regra de formação e periodicidade de troca.Informações . b) Elaboração .Prédios . como tamanho mínimo e máximo. Victor Dalton www. os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas. (B) quais são os processos críticos de TI que suportam o negócio da organização e os procedimentos necessários para evitar ou mitigar a indisponibilidade dos serviços de TI. como ativo (A) intangível.Planejamento . como também do negócio da organização.Internet.Informações . 93ª Questão) (FCC – SEFAZ/PE – Auditor Fiscal – 2014) O Plano de Continuidade de Negócios (PCN) tem como principal objetivo apontar (A) as regras sobre a realização de cópias de segurança. a Documentação de Sistema que é classificado. sejam elas de clientes.com. usuários ou funcionários.Infraestrutura . (B) de informação. (E) as regras sobre o uso de senhas nos recursos computacionais.Telecomunicações .Infraestrutura . (D) como são tratadas as informações pessoais.Pessoas . não somente no aspecto da segurança da informação.Internet. uma vez que o acesso ou o uso inadequado podem gerar prejuízos.Transportes .br 138 de 143 WWW.estrategiaconcursos. como tipo de mídia utilizada.ORG .Transmissões .CONCURSEIROSUNIDOS.Produtos . (C) de software. como por exemplo.Treinamento . d) Eletricidade . c) Energia .Intranet . período de retenção e frequência de execução.

(D) uma ou mais diretrizes para implementação dos controles de segurança da informação e metas e objetivos a serem alcançados para cada diretriz.com.CONCURSEIROSUNIDOS.br 139 de 143 WWW.ORG . para a divulgação das informações comerciais da organização. (E) estabelecer que todas as portas corta-fogo do perímetro de segurança sejam providas de alarme. (C) utilizar protocolos de troca de informação seguros.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 95ª Questão) (FCC – TCE/RS – Auditor Público Externo – Técnico em Processamento de Dados – 2014) No processo de Gestão da Segurança da Informação. (B) estabelecer que os acessos aos computadores e estações de trabalho da organização devem utilizar cartões inteligentes (Smart Cards). (D) implantar Firewall em todos os computadores e servidores da organização para monitorar e controlar os acessos. Victor Dalton www. totalizam 39 categorias principais de segurança. juntas.estrategiaconcursos. a implantação da segurança envolve a adoção de mecanismos para a segurança física. uma ou mais recomendações de utilização. 96ª Questão) (FCC – TCM/GO – Auditor de Controle Externo – Informática – 2015) A Norma ABNT NBR ISO/IEC 27002:2005 contém 11 seções de controles de segurança da informação que. monitoradas e testadas juntamente com as paredes. (B) subcategorias relacionadas apresentando cada uma exemplos práticos de utilização dentro das organizações e os resultados obtidos. cuidados necessários na implementação dos controles de segurança da informação e casos de uso prático. (C) uma introdução. como HTTPS. De acordo com a NBR ISO/IEC 27002:2005. (E) um objetivo de controle que define o que deve ser alcançado e um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle. Prof. Cada seção contém um número de categorias principais de segurança da informação e cada categoria principal de segurança da informação contém (A) um conjunto de recomendações testadas e comprovadas em empresas de todos os tamanhos e segmentos que vivenciaram problemas relacionados a riscos de segurança da informação. uma das formas de prover a segurança física em uma organização é (A) criptografar as mensagens transmitidas por meio do correio eletrônico entre todos os setores da organização.

(E) o plano de continuidade do negócio. Nesse contexto.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 97ª Questão) (FCC – TCM/GO – Auditor de Controle Externo – Informática – 2015) A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002:2005 tem como objetivo apresentar recomendações para (A) assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados. regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. (D) o equipamento de comunicação. permitindo a tomada de ação corretiva em tempo hábil.estrategiaconcursos. 98ª Questão) (FCC – CNMP – Analista – Suporte e Infraestrutura – 2015) A Norma NBR ISO/IEC 27002:2005 estabelece um código de prática para a gestão da segurança da informação.com.ORG . um exemplo de ativo do tipo intangível é (A) a reputação da organização. se for o caso. Victor Dalton www. (E) evitar violação de qualquer lei criminal ou civil. (B) resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação. De acordo com a Norma. proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil. e de acordo com a Norma. Prof.br 140 de 143 WWW. estatutos.CONCURSEIROSUNIDOS. (B) a base de dados e arquivos. (D) garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil. parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. (C) não permitir a interrupção das atividades do negócio. (C) o serviço de iluminação.

fraude ou mau uso dos recursos. abaixo.CONCURSEIROSUNIDOS.br 141 de 143 WWW. NÃO se trata de controle pertinente ao assunto da recomendação: (A) requisitos de desempenho e de demanda de capacidade computacional. É importante também que quaisquer candidatos sejam devidamente analisados.com. a recomendação estabelecida no item Aceitação de sistemas da NBR ISO/IEC 17799: Convém que sejam estabelecidos critérios de aceitação de novos sistemas.. é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará. as . acordados.. Corresponde corretamente à lacuna: (A) diretrizes organizacionais (B) responsabilidades sociais (C) tendências profissionais (D) descrições de cargo (E) políticas de segurança 100ª Questão) (FCC – TRT/15ª Região – Analista Judiciário – Tecnologia da Informação – 2015) Considere.ORG para o . principalmente se forem lidar com informações de caráter sigiloso. (D) elaboração e teste estabelecimento de padrões. estabelece que: Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros. documentados e testados... na seção relativa à Segurança em Recursos Humanos. (C) identificação das aplicações críticas e sensíveis que devem ser processadas internamente. de procedimentos operacionais Prof. Convém que os gestores garantam que os requisitos e critérios para aceitação de novos sistemas estejam claramente definidos. procedimentos de reinicialização e planos de contingência. (B) recuperação de erros. A intenção aqui é mitigar o risco de roubo.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 99ª Questão) (FCC – CNMP – Analista – Desenvolvimento de Sistemas – 2015) A Norma ISO/IEC 27002:2005. e os termos e condições de contratação devem ser explícitos. atualizações e novas versões e que sejam efetuados testes apropriados dos sistemas antes da sua aceitação. especialmente no que tange às responsabilidades de segurança da informação.. Victor Dalton www.estrategiaconcursos. Portanto.

serviço ou rede. ou uma situação previamente desconhecida. IV. (C) irretratabilidade. que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.estrategiaconcursos. Confidencialidade é a propriedade de que a informação não esteja disponível ou revelada a indivíduos. Segurança da informação é a preservação da confidencialidade. Incidente de segurança da informação é uma ocorrência identificada de um estado de sistema.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (E) concordância sobre o conjunto de controles de segurança utilizados. a Segurança da Informação é um conjunto de medidas que visam proteger e preservar informações e sistemas de informações.br 142 de 143 WWW. não repúdio e confiabilidade.ORG . outras propriedades. Evento de segurança da informação é um evento simples ou uma série de eventos de segurança da informação indesejados ou inesperados. considere: I. Prof.com. EXCETO a (A) autenticidade. 102ª Questão) (FCC – TRT/15ª Região – Técnico Judiciário – Tecnologia da Informação – 2015) Sobre as definições aplicadas na NBR ISO/IEC 27001:2006. (D) compatibilidade. responsabilidade. (B) disponibilidade.CONCURSEIROSUNIDOS. (E) integridade. adicionalmente. III. podem também estar envolvidas. que possa ser relevante para a segurança da informação. Victor Dalton www. tais como autenticidade. integridade e disponibilidade da informação. 101ª Questão) (FCC – TRT/15ª Região – Técnico Judiciário – Tecnologia da Informação – 2015) Segundo a norma ISO 27001 de 2006. indicando uma possível violação da política de segurança da informação ou falha de controles. entidades ou processos não autorizados. II. assegurando-lhes algumas qualidades. Está correto o que consta APENAS em (A) III e IV.

b 26.e 47.c 95.b 30. (D) II e III.c 58.c 100.e 64.c 44.c 70.c 66.c 54.e 85.e 59.e 27. Victor Dalton www.d 16.c 68.e 67.e 49.b 39.c 94.b 20.d 101.c 43.e 60. GABARITO 1.e 69.a 37.a Prof.e 74.d 17.c 41.e 56.c 29.b 34.c 76.e 51.c 89.b 11.e 73.c 72.d 38.c 93.e 48.c 53.d 40. (E) II e IV.e 57.a 15.c 12.a 25.c 79.a 18.c 83.e 52.ORG 9.e 62.e 82.b 19.c 75.e 77.e 78.e 45.c 87.e 7.e 61.c 96.e 90.e 35.e 46.com.b 5.br 143 de 143 WWW.e 36.b 4.e 42.a 21.d 22.c 91.e 24.CONCURSEIROSUNIDOS.c 98.c 102.e 6.b 3.e 28.a 23.c 81.e 63.c 2.a 8.c 92.d 33.e 65.d 10.c 31.e 80.e 50.e 71.e 32.c . (C) I e II.d 13.c 55.d 14.Informação para ICMS/SP 2016 Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 03 (B) I e IV.estrategiaconcursos.e 97.c 86.c 88.e 99.c 84.

Concurseiros Unidos Maior RATEIO da Internet Aula 04 Tecnologia da Informação p/ ICMS/SP .CONCURSEIROSUNIDOS.ORG .2016 (Gestão Tributária) Professor: Victor Dalton WWW.

3 Características de um banco de dados 1. é bom digeri-lo aos poucos.estrategiaconcursos.7 Arquitetura três esquemas de um SGBD 1. Já sei que você se assustou com o tamanho da apostila! Mas BD é um assunto extenso mesmo. Valorize o trabalho de nossa equipe adquirindo os cursos honestamente através do site Estratégia Concursos .15 Views 1.9 Tipos de modelos de dados 1.8 Categorias de modelos de dados 1.11 Cardinalidade 1. Victor Dalton www.com. violam a lei e prejudicam os professores que elaboram os cursos.5 Vantagens da abordagem SGBD 1.610/98.Bancos de Dados: Conceitos Básicos 1. Grupos de rateio e pirataria são clandestinos. atualiza e consolida a legislação sobre direitos autorais e dá outras providências.6 Desvantagens da abordagem SGBD 1. dificilmente os conhecimentos básicos saem da cabeça.17 Índices em banco de dados Exercícios Comentados Considerações Finais Exercícios Gabarito 2 2 6 8 11 13 14 14 18 20 25 27 40 51 52 54 57 62 68 119 120 147 Olá pessoal! Vamos ministrar Banco de Dados.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 AULA 4: Bancos de dados SUMÁRIO PÁGINA 1.1 Definições 1.14 Catálogo de Dados 1. que altera.12 Modelo Relacional 1.CONCURSEIROSUNIDOS.4 Trabalhadores envolvidos 1. É o tipo de assunto que.10 Modelo Entidade-Relacionamento 1.2 SGBD 1.16 Normalização de dados 1. nos termos da Lei 9.br 1 de 147 WWW.13 Gerenciamento de Transações 1.-) Prof. Particularmente acho a matéria muito interessante. Vamos ao que interessa? Observação importante: este curso é protegido por direitos autorais (copyright).ORG . uma vez aprendido.

assim como os números. sons gravados e animação. o que é armazenado na máquina não é a informação. Descrevem um acontecimento. pode ser armazenada em um computador. a frase "Paulo tem 23 anos" é um exemplo de informação – desde que seja lida ou ouvida por alguém.br 2 de 147 WWW. qualquer texto constitui um dado ou uma sequência de dados. Victor Dalton www. nada melhor do que começar por um tópico explícito do edital. cuidado. mesmo se incompreensível para o leitor. Assim. desde que "Paulo" signifique para essa pessoa um nome (ou alguém conhecido) e "23 anos" tenha a compreensão devida. que está na mente de alguém.estrategiaconcursos.com. não é possível processar informação diretamente em um computador. Mas. Também são dados fotos. a ponto de se ter eventualmente dificuldade de distinguir a sua reprodução com o original.ORG .CONCURSEIROSUNIDOS. Prof. Por exemplo. não pode ser formalizada através de uma teoria lógica ou matemática). No exemplo. um fato. De fato. representando algo significativo para essa pessoa. BANCOS DE DADOS: CONCEITOS BÁSICOS 1.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 BANCOS DE DADOS 1. Se a representação da informação for feita por meio de dados.1 Definições Para iniciar nosso estudo. É muito importante notar-se que. Uma informação é uma abstração informal (isto é. destacando a diferença entre dado. Portanto. figuras. pois todos podem ser quantificados ao serem introduzidos em um computador. como na frase sobre Paulo. mas a sua representação em forma de dados. Para isso é necessário reduzi-la a dados. que envolverá a compreensão sobre bancos de dados. um texto é um dado. informação. englobando o conceito de idade. "23 anos" teria que ser quantificado. Um dado é uma seqüência de símbolos quantificados ou quantificáveis. sem fornecer julgamento nem interpretação. as letras são símbolos quantificados. Quantificável significa que algo pode ser quantificado e depois reproduzido sem que se perceba a diferença para com o original. conhecimento e inteligência.

pode levar à tomada de decisões. alcançamos a inteligência. Portanto. Um banco de dados é um conjunto de dados relacionados com uma finalidade específica. Prof. vivido. para determinado público alvo (uma empresa. Por exemplo. um adolescente pode entender que Paulo é adulto. que se encontra no topo dessa hierarquia. por fim. ou “Preciso aprender com Paulo”. ou um cadastro de funcionários. a definição correta de banco de dados gira em torno de duas ideias chave: relacionamento e finalidade. O conhecimento por prática ou teoria. ao analisar “Paulo em 23 anos”. essa informação teria sido reduzida a um dado. Para um receptor humano. Conhecimento de um assunto. por sua vez.br 3 de 147 WWW.com. a informação requer um componente humano no processo. ou “Ainda é cedo para promover Paulo” (decisões de negócio). etc. envolve habilidade adquirida por uma pessoa por experiência ou educação.estrategiaconcursos. Entretanto. porque a máquina mesma é puramente sintática (assim como a totalidade da matemática). o conhecimento de um idoso pode interpretar que Paulo é jovem. Veremos mais sobre produção de conhecimento e inteligência em Business Intelligence (Inteligência de Negócio). bem como suportar um negócio (como o estoque de produtos de um fornecedor. Victor Dalton www.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 usando-se por exemplo uma escala numérica. Conhecimento. e associando a idade a algum tipo de atributo. ou tudo isso junto). “Preciso orientar Paulo”. e tem pouca experiência de vida. Portanto. que ele poderia interpretar como informação. com a habilidade de usá-lo para um propósito. podemos responder o que é Banco de Dados. Esta finalidade pode a produção de informação. Entendidos esses aspectos. Uma distinção fundamental entre dado e informação é que o primeiro é puramente sintático e a segunda contém necessariamente semântica. Acredito que você já tenha uma “desconfiança” do que seja um banco de dados.ORG . ou um órgão público.CONCURSEIROSUNIDOS. É interessante notar que é impossível introduzir e processar semântica em um computador. Por outro lado. e tem muitas dicas para passar. por exemplo). O conhecimento. o conhecimento depende (e muito) de quem o possui. Quando o conhecimento é aproveitado.

As informações precisam ser organizadas e gerenciadas de modo que os usuários possam consultar. que devem conter dados dos clientes e dos produtos. Um banco de dados pode ter qualquer tamanho e complexidade. provavelmente possui em seu banco de dados uma vasta quantidade de registros de clientes e produtos. que não se deve confundir Banco de Dados com “Bando de Dados”. Os pedidos também serão dados. Para que um banco de dados seja preciso e confiável o tempo todo.ORG . Começou a visualizar? Prof. Esses dados provavelmente relacionamse através dos pedidos. e acho que isso ajuda a memorizar. Um banco de dados pode ser gerado e mantido manualmente ou computadorizado. são a “base” de um sistema.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Um banco de dados tem alguma fonte da qual o dado é derivado. um conjunto dados que se relacionam.CONCURSEIROSUNIDOS. Um sistema de venda de produtos online. esses sim compõem um Banco de Dados. recuperar e atualizar os dados quando necessário. algum grau de interação com eventos no mundo real e um público interessado no seu conteúdo. Dados desorganizados não servem para nada. as mudanças no minimundo (mundo real) precisam ser refletidas nele o mais breve possível.br 4 de 147 WWW. com alguma finalidade. por exemplo. ou software. Bancos de dados.com.estrategiaconcursos. normalmente. Eu costumo brincar. Victor Dalton www. Um banco de dados computadorizado pode ser criado e mantido por um grupo de programas de aplicação específicos para essa tarefa ou por um sistema gerenciador de banco de dados.

Victor Dalton www.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 C B D dos? Nossa próxima definição importante é a de Esquema de Banco de Dados. Prof.CONCURSEIROSUNIDOS. agrupamentos e links de banco de dados.ORG . fique tranquilo. tais como tabelas.com. índices. Os objetos de um esquema são estruturas lógicas que se referem diretamente aos dados do banco de dados. Eles incluem estruturas. Falaremos mais sobre esses elementos ao longo da apostila. Um esquema do banco de dados é uma coleção de objetos de um banco de dados que estão disponíveis para um determinado usuário ou grupo.estrategiaconcursos.br 5 de 147 WWW. procedimentos armazenados. sinônimos. seqüências. visões.

podendo servir tanto para facilitar o entendimento do Banco de Dados como para implementar o próprio Banco de Dados. seu projeto de banco de dados é idealizado em um esquema (como a figura acima). O esquema é essa ferramenta utilizada para a representação do banco como um todo. Victor Dalton www. Visualize a imagem acima. Prof. por exemplo. ou mesmo o sistema de vendas de uma grande companhia aérea. veja as tabelas e os relacionamentos. Com base no esquema acima.2 SGBD Imagine agora um sistema de uma grande vendedora de produtos online.ORG . ao se elaborar um sistema. explicando os detalhes dela aos poucos.CONCURSEIROSUNIDOS. pouco antes. Falei. Deste simples exemplo. um Administrador de Dados já consegue criar o Banco. que os softwares normalmente estão “em cima” de um Banco de Dados. Essas empresas vendem produtos e serviços por segundo. e eficiente.estrategiaconcursos.br 6 de 147 WWW. percebe-se que Bancos de Dados precisam de gerenciamento próprio.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Ou seja. Tudo bem? 1. para usuários distribuídos geograficamente pelo mundo inteiro. e não se incomode se estiver entendendo pouco ou quase nada. Iremos ver e rever essa imagem. para coordenar um volume gigantesco de operações simultâneas.com.

com.ORG . construção. Prof. Certamente você já ouviu falar de alguns SGBDs. Os SGBDs facilitam o processo de definição.CONCURSEIROSUNIDOS.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Para tal. Seu principal objetivo é retirar da aplicação cliente (o sistema da empresa propriamente dito) a responsabilidade de gerenciar o acesso. alterar ou consultar dados previamente armazenados. O SGBD é o conjunto de programas de computador (softwares) responsáveis pelo gerenciamento de uma (ou mais) base de dados. Em bancos de dados relacionais a interface é constituída pelas APIs (Application Programming Interface) ou drivers do SGBD. que executam comandos na linguagem SQL (Structured Query Language). existem os Sistemas Gerenciadores de Bancos de Dados.estrategiaconcursos. o Microsoft SQL Server. Sistemas Gerenciadores de Bancos de Dados: softwares comerciais.br 7 de 147 WWW. Victor Dalton www. O SGBD disponibiliza uma interface para que seus clientes possam incluir. MySQL. estruturas e restrições dos dados a serem armazenados. ou até mesmo o PostgreSQL. a manipulação e a organização dos dados. o IBM DB2. Construir um banco de dados é o processo de armazenar os dados em algum meio controlado pelo SGBD. como o Oracle. atualização que reflita mudanças no minimundo e geração de relatórios com base nos dados. que é gratuito. manipulação e compartilhamento de bancos de dados entre diversos usuários e aplicações. Manipular um banco de dados inclui funções no banco de dados como consultas para recuperar dados específicos. Definir um banco de dados envolve especificar os tipos.

Outras funções importantes fornecidas pelo SGBD incluem proteção e manutenção do banco de dados por um longo período. A manutenção permite a evolução do sistema de banco de dados ao longo do ciclo de vida. transações e aplicações. A proteção pode ser contra defeitos (falhas) de hardware e software ou contra acesso não autorizado ou malicioso (segurança). Victor Dalton www.3 Características de um banco de dados Na abordagem de banco de dados. Sistema de Banco de Dados: ilustração 1.ORG .br 8 de 147 WWW.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Compartilhar banco de dados é permitir que diversos usuários e programas acessem-no simultaneamente.com. um único repositório mantém dados que são definidos uma vez e depois acessados por vários usuários.estrategiaconcursos.CONCURSEIROSUNIDOS. e usados repetidamente por consultas. Prof. Os nomes ou rótulos de dados são definidos uma vez. à medida que os requisitos mudem com o tempo.

Essa definição é armazenada no catálogo do SGBD (falaremos mais sobre ele adiante). Isso é chamado de independência programa-operação.br 9 de 147 WWW. mas também uma definição ou descrição completa de sua estrutura e restrições. O software SGBD precisa trabalhar de forma satisfatória com qualquer quantidade de aplicações de banco de dados. Victor Dalton www. A estrutura dos arquivos de dados é armazenada no catálogo do SGBD separadamente dos programas de acesso. A implementação (método) da operação é especificada separadamente e pode ser alterada sem afetar a interface. Isolamento Entre Programas e Dados.estrategiaconcursos.ORG .com. A interface de uma operação inclui o nome da operação e os tipos de dados de seus argumentos (parâmetros). A independência programa-dados e a independência programaoperação só são possíveis em virtude de uma característica do SGBD. que é a abstração de dados. Um SGBD oferece aos usuários uma representação conceitual de dados. Em alguns tipos de sistemas de banco de dados os usuários podem definir operações (funções ou métodos) sobre como os dados como parte das definições de banco de dados.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Natureza de Autodescrição de um Sistema de Banco de Dados Na abordagem de banco de dados. qualquer mudança na estrutura de dados do SGBD não exige mudanças nos programas que acessam o banco de dados. que não inclui muitos detalhes de como os dados são armazenados ou como as operações são implementadas.CONCURSEIROSUNIDOS. e Abstração de Dados Na maioria dos casos. A informação armazenada no catálogo é chamada metadados (também será melhor explicado posteriormente). O catálogo é usado pelo software de SGBD e também pelos usuários do banco de dados que precisam de informações sobre a estrutura do banco de dados (tipo e o formato dos dados). Um modelo de dados é um Prof. Essa propriedade é chamada de independência programa-dados. seu sistema contém não apenas o banco de dados.

O SGBD precisa incluir um software de controle de concorrência para garantir que vários usuários tentando atualizar o mesmo dados faça isso de uma maneira controlada. Uma transação executa um acesso logicamente correto a Prof.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 tipo de abstração de dados usado para oferecer essa representação conceitual. Uma transação é um programa em execução ou processo que inclui um ou mais acessos ao banco de dados. Uma visão pode ser um subconjunto do banco de dados ou conter dado virtual que é derivado dos arquivos de banco de dados. O SGBD precisa garantir que cada assento só possa ser acessado por um agente de cada vez para que seja atribuído a um único passageiro.estrategiaconcursos. Por exemplo. Esses tipos de aplicações são chamados OLTP (On-Line Transaction Processing.com. Na abordagem de banco de dados. Os usuários do banco de dados e os programas de aplicação se referem à representação conceitual dos arquivos. mas não estão armazenados explicitamente.br 10 de 147 WWW. Um papel do software SGBD multiusuário é garantir que as transações concorrentes operem de maneira correta e eficiente. Victor Dalton www. Um SGBD multiusuário precisa oferecer facilidades para definir múltiplas visões. e o SGBD extrai os detalhes do armazenamento do arquivo do catálogo quando estes são necessários para os módulos de acesso a arquivo do SGBD. processamento de transações on-line).ORG . a estrutura detalhada e a organização de cada arquivo são armazenadas no catálogo. de modo que o resultado dessas atualizações seja correto. Compartilhamento de Dados e Processamento de Transação Multiusuário Um SGBD multiusuário precisa permitir que múltiplos usuários acessem o banco de dados ao mesmo tempo. se vários agentes de viagem tentam reservar um assento em um voo de uma companhia aérea.CONCURSEIROSUNIDOS. como a leitura ou atualização de seus registros. Suporte para Múltiplas Visões dos Dados Cada usuário do banco de dados pode exigir um ponto de vista ou visão (view) diferente do banco de dados.

para assegurar que os resultados das atualizações sejam corretos. d) modularização. administrados e utilizados por diversos profissionais. Por exemplo.br 11 de 147 WWW. 1. Em SGBD. b) semáforo de acesso. 1) (FCC – SABESP – Tecnólogo . o SGBD deve garantir que cada assento possa ser acessado somente por um atendente de cada vez. Não gostei da forma que a banca apresentou as alternativas. c) transação. para fazer a reserva de apenas um passageiro. Sem exageros.CONCURSEIROSUNIDOS. Percebeu que a questão se parece muito com a explicação da teoria? Isso ocorre porque a FCC também se baseou no Elmasri e Navathe para apresentar o exemplo. Também falaremos adiante sobre Gerenciamento de Transações. a banca está explicando o conceito de Processamento de Transação Multiusuário. a “mais correta” é a letra c). o façam de um modo controlado.4 Trabalhadores envolvidos Sistemas de Bancos de Dados são projetados. Victor Dalton www. porém.Sistemas . quando muitos atendentes tentam reservar um lugar em um voo. pode-se visualizar um Prof.ORG .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 um banco de dados quando ele é executada de forma completa e sem interferência de outras operações.com. ao tentar atualizar o mesmo dado. a este conceito se dá o nome de a) acesso simultâneo. O SGBD deve incluir um software de controle de concorrência para garantir que muitos usuários. e) polimorfismo. Isso é essencial se os dados para as várias aplicações estão integrados e mantidos em um único banco de dados.estrategiaconcursos. No caso.2014) Um SGBD multiusuário deve permitir que diversos usuários acessem o banco de dados ao mesmo tempo.

segundo Elmasri e Navathe (2006): Administradores de Banco de Dados Em um ambiente de banco de dados o banco de dados é o recurso principal. Victor Dalton www.com. Existem várias categorias de usuários finais: Casuais: são os gerentes de nível intermediário ou alto. com a participação de diversos personagens. Escolher estruturas apropriadas para representar e armazenar os dados. Responsável por resolver problemas. Utilizam uma linguagem sofisticada de consulta ao banco de dados para especificar suas necessidades. como falhas na segurança e demora no tempo de resposta do sistema. e o SGBD e os softwares são os recursos secundários. Projetista de Banco de Dados Em muitos casos. Desenvolver visões do banco de dados que cumpram os requisitos de dados e processamento de cada potencial grupo de usuários. Adquirir recursos de software e hardware conforme a necessidade. O DBA é responsável por: Autorizar o acesso ao banco de dados. Se comunicar com todos os potenciais usuários a fim de entender suas necessidades e criar um projeto que as atenda.CONCURSEIROSUNIDOS.estrategiaconcursos. Coordenar e monitorar seu uso.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 “ciclo de vida” para um Sistema de Banco de Dados. São eles. os projetistas estão na equipe de DBAs e são responsáveis por: Identificar os dados a serem armazenados.br 12 de 147 WWW. A administração desses recursos é de responsabilidade do administrador de banco de dados (DBA – database administrator). Usuários Finais (ou usuários do banco de dados) O banco de dados existe primariamente para atender os usuários finais.ORG . Prof.

 Definir padrões de nomes para conceitos e variáveis. Realizar o projeto físico do banco de dados. Sua função principal gira em torno de consultar e atualizar o banco de dados constantemente. baseadas em menu ou gráficos. funcionários nas estações de recebimento de transportadores.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Iniciantes ou paramétricos: são os caixas de banco.estrategiaconcursos. que oferecem interfaces de fácil utilização. tentar “adivinhar” a bibliografia do enunciado.  Enquanto isso. o DA teria atribuições como:  Levantar os requisitos funcionais para o banco de dados.  Especificar as regras de negócio das aplicações. analistas de negócios e outros que estão profundamente familiarizados com as facilidades do SGBD a ponto de implementar as próprias aplicações que atendam suas necessidades. entre outros. usando transações programadas. definir visões e permissões. Sofisticados: são os engenheiros.  Modelar conceitualmente o banco de dados. e  Determinar normas de incorporação e manuseio dos dados. Controlar os processos de back-up e recuperação.  Importante. Atenção! Date (2011) acrescenta a figura do Administrador de Dados(DA). além de regras de integridade.com. cientistas. hotéis e locadoras de automóveis. e Garantir o bom desempenho no acesso e manuseio do banco pelos usuários. para não confundir o Administrador de Dados com o Administrador de Prof.CONCURSEIROSUNIDOS.ORG . Isolados: que mantêm bancos de dados pessoais usando pacotes de programas prontos. prestar atenção nesse detalhe.br 13 de 147 WWW. que foram cuidadosamente programadas e testadas. quando tratar-se de personagens envolvidos. que seria uma pessoa que toma decisões estratégicas e de normas com relação aos dados da empresa. Nessa abordagem. agentes de companhias aéreas. o DBA acumularia as seguintes atribuições:      Mapear o modelo conceitual no modelo lógico. Victor Dalton www. Criar usuários.

CONCURSEIROSUNIDOS.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Banco de Dados. Será visto mais adiante. o SGBD realiza o controle dos diversos níveis de permissão. Backup e restauração: o Sistema de Banco de Dados deve ser tolerante a falhas. Victor Dalton www. testam. Forçar as restrições de integridade: os relacionamentos entre dos dados são implementados por meio de restrições de integridade. Algumas de suas vantagens são:     Controle de redundância: quando os Bancos de Dados precisam ser replicados em mais de um lugar. o SGBD evita a inconsistência das diferentes bases de dados. ou seja. e definem as especificações das transações padrão que atendam a elas.ORG . documentam e mantêm essas transações programadas.5 Vantagens da abordagem SGBD Via de regra. Eu já vi isso .estrategiaconcursos. Pior: até mesmo uma mesma banca pode cobrar conteúdo de autores diferentes. os SGBDs são ferramentas caríssimas. Os programadores de aplicações (engenheiros de software e desenvolvedores de sistemas de software) implementam essas especificações como programas.com. a despeito de falhas de hardware ou software. depuram. o SGBD deve ser capaz de voltar a um estado anterior à falha. Prof. da ordem de milhares de dólares. Restrição a acesso não autorizado: em Bancos de Dados com diferentes níveis de permissão de acesso. 1. Analistas de Sistemas e Engenheiros de Software Os analistas de sistemas identificam as necessidades dos usuários finais. especialmente os iniciantes e paramétricos.br 14 de 147 WWW.

Manutenção e atualização: como todo software. afetando os recursos e cultura da empresa.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 1. Arquitetura três esquemas de um SGBD A arquitetura três esquemas é uma abordagem.com. Nesta arquitetura. os esquemas podem ser descritos em três níveis: Prof.7 Custos: além do preço elevado das ferramentas de SGBD. periodicamente surgem novas versões.estrategiaconcursos.6 Desvantagens da abordagem SGBD Instalar e manter Sistemas de Bancos de Dados carregam consigo alguns ônus intrínsecos. “exigindo” substituições periódicas.ORG . Além disso. São eles:     1. manter um Sistema de Banco de Dados implica em hardware. software e treinamento de pessoal.br 15 de 147 WWW. com novos custos de hardware. Dependência do fornecedor: o investimento inicial alto tende a “prender” o cliente. com mais funcionalidades. que ilustra a separação entre usuário e aplicação. Gerenciamento Complexo: o Sistema necessita interfacear com diferentes tecnologias. software e pessoal especializados. o SGBD deve ser mantido atualizado.CONCURSEIROSUNIDOS. Modificar um SGBD é oneroso e complexo. Victor Dalton www.

relacionados aos pagamentos dos cursos e de pessoal. provavelmente relacionada aos cursos que realiza. ou visões de usuário. aspectos administrativos serão mais relevantes. enfatizando entidades. tipos de dados e restrições.CONCURSEIROSUNIDOS.br 16 de 147 WWW. Nível interno: apresenta um esquema interno. Oculta detalhes do armazenamento físico. para um aluno.estrategiaconcursos. Prof.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Arquitetura três esquemas. de um sistema de aulas online. ocultando o restante. Elmasri e Navathe (2006) Nível externo: abrange os esquemas externos. por sua vez. Cada esquema descreverá apenas a visão pertinente de cada usuário a respeito do Banco de Dados. somente determinada parte do BD lhe é relevante. Por exemplo. Para um administrador financeiro desse sistemas. que descreve o banco de dados como um todo. descrevendo a estrutura de armazenamento físicos do banco de dados.com. Victor Dalton www.ORG . Nível conceitual: possui um esquema conceitual.

Cada esquema interno descreve a parte do banco de dados que um dado grupo de usuários tem interesse e oculta o restante do banco de dados desse grupo. o objetivo da arquitetura de três-esquemas é separar o usuário da aplicação do banco de dados físico. Alternativa d). operações de usuários e restrições. II e III. tipos de dados. Questão sem maiores dificuldades. III. cada esquema é tipicamente implementado usando-se um modelo de dados representacional. Victor Dalton www. d) I e II. Os itens I e II estão corretos. apenas. O esquema conceitual oculta os detalhes das estruturas de armazenamento físico e se concentra na descrição de entidades. um modelo de dados representacional é usado para descrever o esquema conceitual quando o sistema de banco de dados for implementado. Como no item anterior. Geralmente.br 17 de 147 WWW. Prof. enquanto o item III descreve o nível externo. e) III. Esse esquema de implementação conceitual é normalmente baseado em um projeto de esquema conceitual em um modelo de dados de alto nível. Nessa arquitetura. apenas.estrategiaconcursos.com.2013) Em projetos de Banco de Dados. apenas. O nível interno ainda abrange os esquemas externos ou visões de usuários. apenas. conexões. os esquemas podem ser definidos por três níveis: I. O nível interno tem um esquema que descreve a estrutura de armazenamento físico do banco de dados.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 2) (FCC – MPE/SE – Analista – Gestão e Análise de Projeto de Sistema . Esse esquema utiliza um modelo de dado físico e descreve os detalhes complexos do armazenamento de dados e caminhos de acesso ao banco. c) I. b) II e III.ORG . possivelmente baseado em um projeto de esquema externo em um modelo de dados de alto nível. O nível conceitual possui um esquema que descreve a estrutura de todo o banco de dados para a comunidade de usuários.CONCURSEIROSUNIDOS. Está correto o que se afirma em a) II. II.

8 Categorias de modelos de dados Projetar um banco de dados. Entrevista-se o usuário do banco para entendimento e documentação dos seus requisitos de dados.com. Os exemplos de modelagem de dados visto pelo modelo conceitual são mais fáceis de compreender. O modelo normalmente utilizado é o modelo entidaderelacionamento. não raro.br 18 de 147 WWW.7. Ele será visto na próxima aula. Didaticamente.estrategiaconcursos. A primeira fase do projeto do banco é o levantamento e análise de requisitos.1 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Independência lógica e independência física dos dados Dois conceitos relacionados à arquitetura três esquemas que. Cria-se o que chamamos de “mini-mundo”. a Prof. Independência física é a capacidade de alterar o esquema interno sem precisar modificar o esquema conceitual. é uma atividade que requer planejamento e organização. relacionamentos. é a especificação das necessidades do usuário do banco.ORG . Esses esquemas e seus respectivos mapeamentos são guardados no catálogo do banco de dados. Este diagrama é a chave para a compreensão do modelo conceitual de dados. em que já se criam descrições detalhadas de tipos de entidades. como você provavelmente deve imaginar. já que não há limitações ou aplicação de tecnologia específica. Independência lógica é a capacidade de alterar o esquema conceitual sem precisar modificar os esquemas externos. atributos e restrições. pode-se dividir esta tarefa em etapas.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 1. 1.CONCURSEIROSUNIDOS. aparecem em questões de concursos são a independência lógica e a independência física dos dados. que na prática. Victor Dalton www. A modelagem conceitual empregada baseia-se no mais alto nível e deve ser usada para envolver o cliente. A segunda fase é o projeto conceitual. com a construção do Diagrama de Entidade e Relacionamento.

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04
observação da realidade mapeada dentro do sistema que se deseja
desenvolver. O modelo e-r é muito importante e será bastante explorado
nos exercícios.

Ilustração de modelagem conceitual usando o Diagrama E-R.

Posteriormente ocorre as especificações das necessidades
funcionais, depreendidas do próprio projeto conceitual. Caso exista
algum impedimento funcional para a implementação do banco, talvez seja
necessário voltar ao projeto conceitual e realizar algumas modificações.
Em seguida aparece o projeto lógico, ou mapeamento do modelo
de dados. A modelagem lógica (ou representacional, ou de
implementação), por sua vez, já realiza o mapeamento do esquema
conceitual para o modelo de dados que será usado. O modelo de dados de
implementação normalmente é o modelo de dados relacional, que
também é importantíssimo, muito cobrado em provas e será bastante
abordado nos exercícios. Tal projeto consolidará a escrita do script do
banco, com a criação do seu esquema.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

19 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04

Modelagem relacional: ilustração com tabelas e atributos

Por fim, temos o projeto físico, durante a qual são definidas as
estruturas de armazenamento interno, índices, caminhos de acesso e
organizações de arquivo para os arquivos do banco de dados. Já passa a
depender de regras de implementação e restrições tecnológicas.

Figura: Do modelo conceitual ao físico(MAXEY,2002)

Prof. Victor Dalton

www.estrategiaconcursos.com.br

20 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04

3) (FCC – MPE/AM – Agente de Apoio – Programador - 2013) Um
sistema de banco de dados deve apresentar um projeto que visa a
organização das informações e utilização de técnicas para que o futuro
sistema obtenha boa performance e também facilite as manutenções que
venham a acontecer.
O projeto de banco de dados se dá em, pelo menos, duas fases:
Modelagem conceitual e
a) Projeto lógico.
b) Teste de integração.
c) Instalação.
d) Definição da ferramenta que será adotada.
e) Teste de carga.

Após a Modelagem conceitual, temos o Projeto Lógico (ou Modelo
Lógico).
Resposta: alternativa a).

1.9

Tipos de modelos de dados

Apoiando a estrutura de um banco de dados está o modelo de
dados: uma coleção de ferramentas conceituais para descrever dados,
relações de dados, semântica de dados e restrições de consistência. Um
modelo de dados oferece uma maneira de descrever o projeto de um
banco de dados no nível físico, lógico e de visão.
Existem vários modelos de dados diferentes. Vejamos alguns:
Modelo hierárquico: O modelo hierárquico foi o primeiro a ser
reconhecido como um modelo de dados. Nele, os registros são conectados
em uma estrutura de dados em árvore, similar a uma árvore invertida (ou
às raízes de uma árvore).

Prof. Victor Dalton

www.estrategiaconcursos.com.br

21 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04

Neste modelo, uma ligação é uma associação entre dois
registros. O relacionamento entre um registro-pai e vários registrosfilhos possui cardinalidade 1:N, ou 1:1, sendo N =1. Os dados
organizados segundo este modelo podem ser acessados segundo uma
sequência hierárquica com uma navegação do topo para as folhas e da
esquerda para direita. Um registro pode até estar associado a vários
registros diferentes, desde que seja replicado.

Neste exemplo, perceba que os registros da tabela empregado
possuem hierarquia direta em relação aos registros da tabela
departamento.
O modelo hierárquico possui muitas limitações. Ele pode ser útil para
modelar esquemas fortemente hierárquicos (como classificações para
espécies dos reinos animal e vegetal, corporações, hierarquias
governamentais, etc.), mas apresenta limitações quando representa
modelos não-hierárquicos. Isto provocou o surgimento do modelo em
rede.
Modelo em rede: o modelo em rede acabou eliminando a
hierarquia, pois passou a permitir que, em tese, cada registro filho
pudesse ser ligado a mais de um registro pai.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

22 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04

Nesse caso, a estrutura em árvore se desfaz, e passa a se
assemelhar a uma estrutura em grafo. Relacionamentos N:M também
passam a ser permitidos (lembrando que o relacionamento é estabelecido
entre registros).

Perceba que, neste modelo, é possível colocar um empregado
vinculado a mais de um departamento, o que não era possível no modelo
hierárquico.
Os modelos de dados em rede e hierárquicos precederam o modelo
de dados relacional, que é o mais utilizado atualmente. São muito pouco
utilizados nos dias de hoje, a não ser em bancos de dados antigos que
ainda estejam em vigor.
Modelo relacional: O modelo relacional usa uma coleção de tabelas
para representar os dados e as relações entre eles. Foi o modelo que eu
utilizei para explicar os conceitos básicos de banco de dados, e é o
modelo mais utilizado (e cobrado em provas). Cada tabela possui diversas
colunas, e cada coluna possui um nome único. Tabelas também são
chamadas de relações.(Deixei isso pra depois de propósito: não
confunda relação com os relacionamentos entre as tabelas). Cada tabela
contém tuplas. Cada tupla possui um número fixo de campos, ou
atributos. As colunas das tabelas correspondem aos atributos do tipo de
Prof. Victor Dalton

www.estrategiaconcursos.com.br

23 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04
registro. Este modelo é o mais utilizado na fase de projeto lógico do
BD.
Modelo Entidade/Relacionamento: O modelo de EntidadeRelacionamento (E-R) é baseado na percepção de um mundo real que
consiste em uma coleção de objetos básicos, chamados entidades, e os
relacionamentos entre esses objetos (existem autores que falam em
relação para descrever relacionamentos. Preste atenção em uma eventual
questão de prova, para saber o que a banca quer). Uma entidade é uma
“coisa” ou “objeto” no mundo real que é distinguível dos outros objetos
(como pessoa, ou carro). É um modelo mais alto nível, empregado na
fase do projeto conceitual, que é anterior à fase do projeto lógico, no
qual se utiliza o modelo relacional. Também cai em provas.
Modelo de dados orientado a objetos: É uma extensão do modelo
ER com noções de encapsulamento de identidade do objeto (isso será
visto em programação).
Modelo de dados objeto-relacional: Combina características do
modelo relacional com o modelo orientado a objetos.

P.S: Não se surpreenda em ter visto os modelos relacional e entidade
relacionamento também neste tópico. Os tipos de modelos de dados
apresentados não deixam de ter um caráter histórico, refletindo a
evolução dos modelos ao longo do tempo. Por isso, os modelos relacional
e E-R acabaram se consolidando nas categorias vistas anteriormente.

4) (FCC – SEFAZ/PE – Auditor Fiscal – 2014) Um Sistema de
Gerenciamento de Banco de Dados (SGBD) é um software com recursos
específicos para facilitar a manipulação das informações dos bancos de
dados e o desenvolvimento de programas aplicativos. A forma como os
dados serão armazenados no banco de dados é definida pelo modelo do
SGBD. Os principais modelos são: hierárquico, em rede, orientado a
objetos e
(A) funcional.
(B) procedural.
(C) orientado a serviços.
(D) relacional.
Prof. Victor Dalton

www.estrategiaconcursos.com.br

24 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04
(E) orientado a componentes.
Estudamos em detalhes o modelo relacional, um dos mais cobrados em
provas. As demais sentenças nem se aplicam a banco de dados.
Resposta certa: alternativa d).

1.10 O Modelo Entidade-Relacionamento

Aqui estamos diante de um diagrama ER, do modelo entidaderelacionamento. Aquele mais conceitual, alto nível. Façamos uma breve
legenda:
Retângulos: são as entidades.
Losangos: representam os relacionamentos.
Elipses: representam os atributos (ausente neste diagrama).
Linhas: vinculam conjuntos de entidades a conjuntos de
relacionamentos.
Linhas duplas: indicam participação total de uma entidade em um
conjunto de relacionamentos.

Esta notação, de retângulos e losangos, também é chamada de
notação Chen, em homenagem ao seu autor, Peter Chen.
Esta abordagem, como você pode perceber, consegue mostrar para
um usuário, até mesmo o leigo em banco de dados, algumas
Prof. Victor Dalton

www.estrategiaconcursos.com.br

25 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04
características desse banco hipotético, ilustrado no modelo. Dele, é
possível compreender que:
Empregados gerenciam departamentos;
Empregados trabalham em projetos;e
Departamentos controlam projetos (perceba as sentenças no
estilo entidade-relacionamento-entidade, em lógica de primeira ordem).
Perceba que, com as informações apresentadas, detalhes de
implementação do banco de dados ainda não são conhecidos. Quais são
as tabelas desse banco? Você ainda não sabe.
Um primeiro destaque nesse modelo, comumente cobrado em
provas, é a indicação de participação parcial ou participação total no
relacionamento, representados, respectivamente, por linhas simples em
duplas.
Uma participação parcial indica que aquele relacionamento não é
obrigatório para aquela entidade. Preste atenção apenas nesse trecho da
figura, abaixo:

A linha simples entre Empregado e Gerencia indica que não há
obrigatoriedade de que um empregado gerencie um departamento.
Por outro lado, a linha dupla em Departamento indica que todo
Departamento deve ter um Empregado que o gerencie. Compreendeu?
Fugindo um pouco do modelo E-R, mas, com o objetivo de fazê-lo
entender melhor essa obrigação (ou não), imagine uma fotografia de
duas tabelas de banco de dados com as seguintes informações:

Prof. Victor Dalton

www.estrategiaconcursos.com.br

26 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04
EMPREGADO
CodEmpregado

NomeEmpregado

Gerente?

001

Marcos

S

002

Paula

N

003

Roberta

S

004

Marcelo

N

CodDepartamento

NomeDepartamento

CodGerente

MKT

Marketing

001

ADM

Administração

003

DEPARTAMENTO

Neste exemplo, materializei duas tabelas que mostram Marcos
gerenciando o Departamento de Marketing, e Roberta gerenciando o
Departamento de Administração. Do jeito que montei as tabelas, todo
departamento terá um gerente, mas nem todo empregado será gerente.
Razoável, não é mesmo?
P.S.: as fotografias das tabelas não fazem parte do modelo ER! Apenas estão aí para facilitar o seu entendimento!
O segundo aspecto importante, também retratado nas imagens, é a
questão da cardinalidade (1, N, M). Para tal, trataremos em tópico
específico.

5) (FCC – MPE/MA – Analista Ministerial – Banco de Dados - 2013)
Quando do projeto de um banco de dados relacional, pode haver a
indicação de que um conjunto de entidades tem participação total em um
conjunto de relacionamentos, isto significa que
a) cada entidade do conjunto de entidades participa em todos os
relacionamentos do conjunto de relacionamentos.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

27 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04
b) há, no mínimo, metade das entidades do conjunto de entidades que
participam em pelo menos um relacionamento do conjunto de
relacionamentos.
c) as entidades do conjunto de entidades não possuem atributos do tipo
booleano ou do tipo data.
d) cada entidade do conjunto de entidades participa em pelo menos um
relacionamento do conjunto de relacionamentos.
e) todos os atributos do conjunto de entidades são indexados com a
técnica de árvores binárias.

Participação total e parcial!
A linha dupla indica participação total, e a entidade ligada por linha dupla
exige que ela se relacione com pelo menos uma entidade do outro lado do
relacionamento. Já a linha simples indica o relacionamento, mas pode ser
que nem toda entidade possua um relacionamento.
Uma coisa ruim das bancas é não diferenciar entidade de instância de
entidade. Quando se fala da entidade Projeto, em tese, me refiro à
entidade projeto de modo genérico. Quando se fala de cada entidade
Projeto, na verdade estão se referindo às instâncias de entidade, que,
na prática, correspondem ao registros que estão no Banco de Dados,
conforme expliquei para você na teoria.
A questão seria bem mais clara se ela, ao invés de falar “cada entidade”
do “conjunto de entidades”, falasse “instância das entidades” das
“entidades”.
Nossa resposta certa, alternativa d).

1.11 Cardinalidade

Podemos ver a mesma imagem novamente?

Prof. Victor Dalton

www.estrategiaconcursos.com.br

28 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04

A cardinalidade serve para expressar o número de entidades que
uma entidade pode associar-se, por meio de um relacionamento.
A figura acima retrata os três tipos possíveis de cardinalidade.
Na cardinalidade (1:1), uma entidade E1 pode relacionar-se a, no
máximo, uma outra entidade E2, por meio de um relacionamento, e viceversa. É o caso entre Empregado e Departamento, ilustrado no tópico
anterior.
Na cardinalidade (1:N), uma entidade E1 pode relacionar-se com
várias entidades E2, porém, uma entidade E2 pode relacionar-se apenas
com uma entidade E1. É o que acontece entre Departamento e Projeto.
Preste atenção na imagem e na leitura das frases a seguir: um
Departamento pode controlar N Projetos, e um Projeto pode ser
controlado por um Departamento. Captou? Gostaria de enxergar isso em
tabelas?
DEPARTAMENTO
CodDepartamento

NomeDepartamento

CodGerente

MKT

Marketing

001

ADM

Administração

003

Prof. Victor Dalton

www.estrategiaconcursos.com.br

29 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04
PROJETO
CodProjeto

NomeProjeto

CodDepResponsavel

P01

Inovação

MKT

P02

Reestruturação

ADM

P03

Vender Mais

MKT

P04

Novo Produto

MKT

Captou? Do jeito que montei as tabelas, os Departamentos podem
ter vários projetos, mas cada projeto tem apenas um Departamento
responsável.
P.S.: as fotografias das tabelas não fazem parte do modelo ER! Apenas estão aí para facilitar o seu entendimento!

Por último, falemos da cardinalidade (N:M) ou (N:N). Nela, uma
entidade E1 pode relacionar-se com várias entidades E2, assim como uma
entidade E2 pode relacionar-se apenas com várias entidades E1. É o que
acontece entre Empregado e Projeto.

Um Empregado pode trabalhar em M Projetos, e um Projeto pode
“ser trabalhado” por N Empregados. Captou? Em tabelas, isso fica um
pouco diferente:

Prof. Victor Dalton

www.estrategiaconcursos.com.br

30 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04
PROJETO
CodProjeto

NomeProjeto

CodDepResponsavel

P01

Inovação

MKT

P02

Reestruturação

ADM

P03

Vender Mais

MKT

P04

Novo Produto

MKY

CodEmpregado

NomeEmpregado

Gerente?

001

Marcos

S

002

Paula

N

003

Roberta

S

004

Marcelo

N

EMPREGADO

TRABALHA
CodEmpregado

CodProjeto

001

P01

001

P02

002

P03

003

P01

Nesta estrutura, você percebe que a tabela Trabalha serve para
materializar o relacionamento entre Empregado e Projeto, e que, desta
forma, empregados podem trabalhar em vários projetos, e projetos
podem ter vários empregados, sem restrições.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

31 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04
Agora, reveja aquele esquema de banco de dados, do início da
apostila:

O relacionamento entre as tabela usuario e comentario indicam, do
lado usuario (1,1), e do lado comentario (0,n). Isso retrata um
relacionamento (1:N) entre essas entidades. Ou seja, Cada usuário
cadastrado na tabela usuario pode fazer de zero a muitos comentários.
Cada comentário, por sua vez, deverá ter sido feito por apenas um único
usuário, entendeu?
Mais um pouco: veja as tabelas usuario, usr_ai e area_interesse. A
tabela usuario possui um relacionamento de cardinalidade (1:N) com a
tabela usr_ai. Ou seja, isso implica que cada usuário pode ter zero ou
mais áreas de interesse. Por exemplo, Paulo pode se interessar por
esportes, ficção e romance.
Por sua vez, area_de_interesse possui um relacionamento de
cardinalidade (1:N) com a tabela usr_ai. Ou seja, isso implica que cada
área de interesse pode estar relacionada a zero ou mais usuários.
Captaram? Na realidade, existe um relacionamento de cardinalidade
(N:N), também chamado de (N:M), entre usuario e area_interesse. Só
que, para implementar o banco de dados de uma maneira organizada, foi
necessário fazer uma tabela de ligação entre usuario e area_interesse.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

32 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04
A cardinalidade pode ser expressada de diferentes formas, de acordo
com o modelo ilustrado. Inclusive, como no esquema acima, ficaram
explícitas as cardinalidades mínimas e máximas, uma vez que o
esquema não possui linhas simples e duplas para tal. Uma cardinalidade
(1:N), por exemplo, foi retratada pelos pares (1,1) e (0,n), indicando que
uma entidade E1 pode ser relacionar com 0 a n entidades E2, ao passo
que uma entidade E2 deve se relacionar com uma, e apenas uma
entidade E1. Compreendido?

1.11.1 Notação
galinha)

Engenharia

da

Informação

(pé

de

A notação Engenharia da Informação é uma forma alternativa de
representar entidades e relacionamentos no modelo E-R. Criada por
James Martin, é apelidada por notação pé-de-galinha, pelo símbolo
característico que representa a cardinalidade n. Vejamos um pouco sobre
esta notação:
Entidades: retângulos
Atributos: dentro do retângulo
Relacionamentos: linhas, apenas.
Cardinalidades: linha simples representa 1, pé-de-galinha
representa N (na horizontal), circunferência representa relacionamento
opcional (cardinalidade mínima zero).
Veja o exemplo comparativo, abaixo, que ilustra bem a comparação
entre a notação Chen e a notação pé-de-galinha:

Prof. Victor Dalton

www.estrategiaconcursos.com.br

33 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04

Um relacionamento 1-1 é ilustrado, na notação pé-de-galinha, por duas listras verticais, “||“
(1-1). Zero é representado por “o” e N pelo “pé-de-galinha.”

6) (FCC – TRT/15ª Região – Técnico Judiciário – Tecnologia da
Informação – 2015) Para representar o relacionamento entre entidades
no modelo E-R, várias notações foram criadas, como a da Engenharia da
Informação, criada por James Martin. Com relação a esta notação,
considere o relacionamento abaixo.

Neste relacionamento,
(A) todo departamento cadastrado deverá ter, obrigatoriamente, pelo
menos, um empregado.
(B) um mesmo empregado pode estar associado a muitos departamentos.
(C) somente dois departamentos poderão ser cadastrados.
(D) somente três empregados poderão ser relacionados a cada
departamento.
(E) podem haver departamentos cadastrados sem nenhum empregado
relacionado a ele.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

34 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04
Compreendendo a notação, vemos que o relacionamento entre
Departamento e Empregado é (1-1) no lado Departamento e (0-n) do
lado Empregado.
Realizando a leitura apropriada, isto quer dizer que Departamento pode
possuir de zero a n empregados, e Empregado deve trabalhar em um e
somente um Departamento.
Por eliminação, a única alternativa correta é a alternativa e).

1.11.2 Modelo E-R Estendido (ou modelo EER)

O modelo EER adota tudo o que vimos anteriormente acerca do
modelo E-R, mas inclui os conceitos de subclasse, superclasse e
herança, além dos consequentes conceitos de especialização e
generalização.
O modelo EER é mais adequado quando percebe-se que algumas
entidades podem ser especializadas ou generalizadas. Por exemplo,
suponha que o banco de dados de uma empresa irá cadastrar seus
Funcionários. Todos eles possuem um nome e um código, porém,
aqueles que forem Engenheiros terão um número de CREA, e aqueles
que forem Médicos terão um CRM e uma especialidade.
Portanto, uma conduta interessante seria transformar Funcionário
em uma superclasse, mantendo nele os atributos comuns às
subclasses Engenheiro e Médico.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

35 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04

Especialização de Funcionário em Engenheiro e Médico, utilizando a notação EER.

Engenheiro e Médico herdam os atributos comuns de Funcionário.
Assim sendo, Engenheiro e médicos são especializações da entidade
Funcionário, em uma abordagem top-down. Se Funcionário fosse uma
classe criada “após” a criação das entidades Médico e Engenheiro, em
uma abordagem bottom-up, diríamos que houve uma generalização das
classes citadas. Tranquilo? Vejamos outro exemplo abaixo:

Prof. Victor Dalton

www.estrategiaconcursos.com.br

36 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04

Pagamento: no crediário ou no cartão?

Pagamento é uma superclasse, e Crediario e Cartao são subclasses
que especializam Pagamento.
Neste caso há uma sutil variação na notação, substituindo o triângulo
por uma circunferência, e com duas “setas” circulares apontando para as
classes herdeiras. Tais classes são chamadas assim porque elas herdam
os atributos das superclasses (os atributos das superclasses são atributos
comuns, pertencentes também às subclasses).
A generalização/especialização pode ocorrer segundo quatro
variáveis, combinadas duas a duas. Ela pode ser exclusiva (também
chamada disjunta) ou compartilhada, bem como total ou parcial. Os
exemplos abaixo elucidarão essas características.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

37 de 147

WWW.CONCURSEIROSUNIDOS.ORG

Concurseiros Unidos MaiorTecnologia
RATEIOdada
Internet
Informação para ICMS/SP 2016
Agente Fiscal de Rendas Gestão Tributária
Prof Victor Dalton Aula 04

Compartilhado (c): pessoas podem ser funcionários e associados simultaneamente.

Exclusiva ou disjunta (x ou d): se uma mídia é livro, ela não pode ser DVD, e vice-versa.

Prof. Victor Dalton

www.estrategiaconcursos.com.br

38 de 147

WWW.CONCURSEIROSUNIDOS.ORG

br 39 de 147 WWW.com. Parcial (p): nem todas as mídias são livros ou DVDs. são possíveis combinações XT.estrategiaconcursos.ORG .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Total (t): todas as pessoas são funcionários ou associados. CT e CP. XP.CONCURSEIROSUNIDOS. Assim sendo. Victor Dalton www. Prof.

o modelo relacional está ligado ao Projeto Lógico.. Perceba que as tabelas (que também podem ser chamadas de relações) são os principais elementos do banco. Victor Dalton www.br 40 de 147 WWW.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 1. temos os atributos código. pois ele está carregado de informações do modelo relacional.12 Modelo Relacional Vamos agora tratar do modelo relacional.. Apenas relembrando. Os atributos são componentes das entidades. conteudo. comentario. cod_usuario_remetente e cod_arquivo. categoria.ORG . Mas vamos entendê-lo ainda mais. Na entidade comentário. recado.estrategiaconcursos. data_criacao. aquele em um nível intermediário entre o modelo conceitual e o modelo físico. Está lembrado? Vamos ver aquele esquema novamente: Creio que você já o entenda mais do que quando o viu pela primeira vez.CONCURSEIROSUNIDOS. por exemplo.com. area_interesse. Prof. contato.

são essas tabelas efetivamente preenchidas. quer dizer que o número de caracteres é variável. temos os registros da tabela. conteúdo será um varchar com até 1000 caracteres (varchar. são os metadados. ou tuplas. A imagem acima. data_criacao será uma informação do tipo datahora. é um modelo que mostra o que deverá conter no banco. Por fim. Atributos Compostos versus Simples (Atômicos). como já vimos.com.CONCURSEIROSUNIDOS. Eles podem receber várias classificações.ORG . indo até o limite estabelecido). efetivamente. conforme visualizado neste esquema. Os atributos compostos são aqueles que podem ser divididos em partes menores.1 Tipos de Atributos Os atributos.estrategiaconcursos. são os elementos que compõem as entidades.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 As informações colocadas ao lado dos atributos. Victor Dalton www. que representam a maioria dos atributos básicos com Prof. O banco de dados. e assim sucessivamente. Código será um inteiro de até 11 dígitos. Registros e tuplas são sinônimos. utilizada como exemplo.br 41 de 147 WWW. Um exemplo da tabela comentario preenchida com dados poderia ser: E continuemos vendo detalhes! 1. basicamente.12.

Em alguns casos. o atributo Prof. três cores. Em alguns casos. Da mesma forma. Um atributo multivalorado deve ter limite inferior e superior para restringir o número de valores permitidos a cada entidade individual. Em alguns casos. se presumirmos que um carro possa ter. o atributo Cor de um carro pode ter entre um e três valores. pessoas diferentes podem ter números de valores diferentes para o atributo Titulação. 300'. outra pessoa pode ter um e. Os carros com uma cor têm um valor único. Idade é um atributo monovalorado de uma pessoa. Por exemplo.ORG . EnderecoRua pode ser subdividido. um atributo Endereço. Cidade. é chamado atributo armazenado. Alguns valores de atributos podem ser derivados de entidades relacionadas. E os atributos compostos podem formar uma hierarquia. Victor Dalton www.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 significados independentes. esses atributos são chamados monovalorados. o valor de Idade pode ser determinado pela data corrente (hoje) e o valor de DataNascimento da pessoa. por exemplo. de uma entidade departamento.CONCURSEIROSUNIDOS. O valor de um atributo composto é a concatenação dos valores componentes dos seus atributos simples. Por exemplo.com. Por exemplo. uma pessoa pode não ter um título acadêmico. com os valores 'Av. um atributo pode ter um conjunto de valores para a mesma entidade — por exemplo. 'SP' e '01017911'. Número e Apartamento. portanto. Os atributos simples são indivisíveis. um atributo Cor para um carro ou um atributo Titulação para uma pessoa. Para uma tabela pessoa em particular. Estado e CEP. pode ser subdividido em EnderecoRua.br 42 de 147 WWW. no máximo. pode ser derivado da contagem do número de empregados relacionados (que trabalham) nesse departamento. e é dito derivado do atributo DataNascimento. Por exemplo. Atributos Armazenados versus Derivados. um atributo NumerodeEmpregados. Os atributos que não são divisíveis são chamados simples ou atributos atômicos. uma terceira pessoa. que.estrategiaconcursos. A maioria dos atributos tem um valor único para uma dada tupla. os atributos Idade e DataNascimento de uma pessoa. Atributos Monovalorados versus Multivalorados. Esses atributos são chamados multivalorados. Portanto. ainda. dois (ou mais) valores de atributos estão relacionados — por exemplo. determinada tabela pode não ter um valor aplicável a um atributo. 'São Paulo'. por exemplo. Rangel Pestana. enquanto aqueles com dois tons contêm dois valores para Cor. em três atributos simples: Rua. em uma tabela hipotética. Valores nulls (Nulos). o atributo Idade é chamado atributo derivado. dois ou mais títulos. por sua vez.

um atributo Titulação só se aplica a pessoas com titulação acadêmica.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Apartamento de um endereço se aplica apenas a endereços que estão em edifícios de apartamentos. O primeiro aparece quando se sabe que o valor do atributo existe mas está faltando — por exemplo. e não a outros tipos de residência. se uma pessoa pode ter mais de uma residência e cada uma delas pode ter múltiplos telefones.NumeroFone)}. como as casas. ao passo que o sentido do último se refere a desconhecido. Rua.com. CEP))}. separando os componentes por meio de vírgulas e mostrando os atributos multivalorados entre chaves {}. se não soubermos o telefone residencial de 'Joao Paulo'. Victor Dalton www. Por exemplo. Estado.br 43 de 147 WWW. Por analogia. um atributo EnderecoFone para uma pessoa pode ser especificado contendo mais de um atributo. Atributos Complexos. ainda. Ex: {EnderecoFone({Fone(CodigoArea. se o atributo FoneResidencial de uma pessoa é null. Um endereço de uma casa teria valor null para seu atributo Apartamento.estrategiaconcursos. Apartamento).CONCURSEIROSUNIDOS. A categoria 'desconhecido' de null pode ser. Observa-se que os atributos compostos e multivalorados podem ser aninhados de uma maneira arbitrária. Esses atributos são chamados atributos complexos.Cidade. classificada em dois casos.ORG .Endereco(EnderecoRua (Numero. O segundo caso surge quando não se sabe se o valor do atributo existe — por exemplo. como por exempo contendo os atributos Endereco e Telefone. Para essas situações é criado um valor especial chamado null (nulo). Não confunda! Simples indivisível Monovalorado um único valor na tupla Composto pode ser dividido em várias partes Multivalorado mais de um valor dentro da mesma tupla Prof. e uma pessoa sem titulação acadêmica teria valor null para Titulação. Podemos representar essa organização arbitrária agrupando os componentes de um atributo composto entre parênteses (). se o atributo Altura de uma pessoa é dado como null. por exemplo. O sentido do primeiro tipo de null corresponde a não aplicável. O valor null pode ser usado também quando não conhecemos o valor de um atributo para uma entidade em particular.

monovalorado (D) identificador . por sua vez. do atributo Data de Nascimento. é chamado atributo . 1.. As lacunas I e II são. Portanto. pois pode ser calculado com base no atributo armazenado Data de Nascimento. o valor de Idade pode ser determinado pela data corrente e o valor de Data de Nascimento da pessoa.estrategiaconcursos. 7) (FCC – TRT 2ª Região – Analista Judiciário – Tecnologia da Informação – 2014) Em alguns casos. Resposta: alternativa b). dado um único registro. dois ou mais valores de atributos em um modelo de Entidade-Relacionamento estão relacionados.derivado (B) derivado .armazenado (C) multivalorado . que. ele é complexo. correta e respectivamente. preenchidas com: (A) armazenado . Quando o atributo é composto e multivalorado simultaneamente. Victor Dalton www. . os atributos Idade e Data de Nascimento de uma pessoa.2 Restrições de Integridade Prof.br 44 de 147 WWW.unívoco O atributo Idade é um atributo derivado..com.ORG . mas pode ter mais de um valor. Amarelo Cor é um atributo simples.... Azul..II. Por exemplo.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Atributo composto pode ser monovalorado? SIM! Atributo simples pode ser multivalorado? SIM! Exemplo: Carro Gol Cor Preto.12.complexo (E) resultante .I. o atributo Idade é chamado atributo .. Para uma Entidade-Pessoa em particular.CONCURSEIROSUNIDOS.. tendo o dia atual como referência.

um banco de dados relacional. necessita de suas tabelas. que possibilitem caracterizar aquele registro no banco como único.estrategiaconcursos. As restrições de integridades podem ser de:  Domínio – amarrando os possíveis valores de um atributo (inteiro. Victor Dalton www. não nulo.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Pois então. 1037 telefone 08002851244 08002851244 (81) 31835941 (81) 31835941 cidade Recife estado PE Recife PE Olinda PE Olinda PE Prof. tipo.12. SN Rua José Augusto Moreira. Tabelas e colunas você já conhece. SN Rua do Imperador Dom Pedro II. Ex: codigo_cliente 1 2 3 4 endereco Rua do Imperador Dom Pedro II. Agora. falemos dessa característica importantíssima.)  Vazio – dizer se um campo pode ou não ser null. ou vários. em sua concepção.  Referencial – assegurando que uma chave estrangeira possua respectiva associação na tabela de origem. que são as restrições de integridade.com. e de suas restrições de integridade. string. positivo. ou seja nula. Por meio das restrições de integridade é que são assegurados o correto relacionamento entre as tabelas.CONCURSEIROSUNIDOS.3 Chave Primária x Chave Estrangeira Todo registro em um banco de dados precisa de um atributo.  Chave – impedindo que uma chave primária se repita. etc. fundamentais para a consistência do banco de dados. 1037 Rua José Augusto Moreira. As de chave e referencial são as chaves primárias e estrangeiras. 1. Não deixa de ser um subitem da integridade de domínio. As restrições de domínio e vazio são relativamente intuitivas.ORG . as quais veremos a seguir. das colunas das tabelas(os seus atributos).br 45 de 147 WWW.

Prof. em um banco de dados relacional são necessárias duas coisas: diferenciar uma tupla da outra e relacionar as tabelas. perceba que ali temos alguns atributos com chaves em “dourado”. O por quê disso? Imagine que a tabela acima possui um relacionamento com outra tabela. a diferenciação entre as tuplas se faz por meio da chave primária. que asseguram que cada tupla (linha) da tabela é única.com.ORG . escrevi tuplas parecidíssimas.CONCURSEIROSUNIDOS. outros com chave “parcialmente dourada” e outros com chave “prateada”. diferenciadas apenas pelo atributo codigo_cliente. como a tabela abaixo: codigo_cliente 1 2 3 4 Nome Jader Afonso André Simone Agora você percebe um motivo. A chave primária é o atributo(coluna) ou atributos(colunas).estrategiaconcursos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Perceba que. o atributo codigo_cliente. Voltando ao esquema que eu tanto tenho repetido. Dois clientes diferentes. Logo. Victor Dalton www.br 46 de 147 WWW. intencionalmente. No caso. que possuem um mesmo endereço. Neste pequeno exemplo.

estrategiaconcursos. ou chave alternativa. pois referenciam. e explica o porquê das tabelas possuírem linhas interligando-as. Mesmo que composta por vários atributos. Um outro conceito interessante referente às restrições de chave é o conceito de chave candidata.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 codigo é a chave primária de comentario.cod_usuario e cod_usuario_contato são a chave primária de contato. cod_usuario_remetente e cod_arquivo são chaves estrangeiras na tabela comentario. codigo é a chave primária de categoria. garantir que tuplas não sejam repetidas. Nesse esquema. Victor Dalton www.com.br 47 de 147 WWW. Todos esses atributos serão únicos.CONCURSEIROSUNIDOS. e por aí vai. TituloEleitor e Identidade. Às vezes. exerce o papel de restrição referencial. respectivamente. Tenha como exemplo uma tabela em que existam os campos CPF. Uma dessas chaves convenientemente será escolhida como chave primária e as demais permanecerão como chaves candidatas. Isso ainda implica que todo valor preenchido na tabela com chave estrangeira possua uma respectiva associação na tabela onde a chave associada é primária. No esquema. A chave estrangeira “amarra” os relacionamentos entre as tabelas. a chave primária Prof. por sua vez. as chaves prateadas são chaves estrangeiras. A chave estrangeira.ORG . nos modelos. e eles são chamados de chaves candidatas. a chave primária é única e o seu papel é o de restrição de chave. ou seja. mais de um atributo de uma tabela são únicos. as chaves douradas são chaves primárias.

para substituir chaves primárias compostas por muitos atributos. o que costuma impactar negativamente a performance do banco de dados.com. A primária restringe unicidade ou nulidade. Em questões de concursos. login. a chave primária codigo na tabela usuário e a chave primaria codigo na tabela usuário (sim. mas funcionam ao mesmo tempo como chaves estrangeiras. de uma maneira genérica. também são chaves estrangeiras. porém. as funções da chave são bem distintas.ORG . é um campo. Perceba que. pois referenciam.4 Outras chaves Chave substituta: A chave substituta. data_criacao.12. estando as chaves sempre sublinhadas “cheias”.br 48 de 147 WWW. No esquema. podemos descrever as tabelas. as chaves parcialmente douradas estão fazendo o papel de chave primária. * 1 Nome Paulo Telefone (11) 99999-8888 Prof. E assim sucessivamente. Victor Dalton www.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 codigo na tabela usuário e a chave primária codigo na tabela arquivo. ou surrogate key. cod_arquivo) Usuario (codigo. email.CONCURSEIROSUNIDOS. Procure enxergar todos os demais relacionamentos nesta tabela. cod_usuario e cod_usuario_contato. ou chave artificial. cod_usuario_contato) cod_usuario. seus atributos e restrições da seguinte forma abaixo. normalmente auto incremental. isso mesmo. a mesma chave na mesma tabela). Por fim. particularmente. com os atributos entre parênteses e as chaves sublinhadas: Comentario (codigo. senha) Contato(cod_usuario. enquanto a estrangeira restringe relacionamento. na mesma tabela. É útil. nunca vi esta diferenciação. Há autores que sublinham “cheio” as chaves primárias e “pontilhado” as chaves estrangeiras.estrategiaconcursos. no modelo relacional. mesmo que um mesmo atributo possa ser (ou compor) chave primária e ser chave estrangeira. que juntos compõem a chave primária de contato. que pode (não é obrigatório) ser utilizado para definir a chave primária de uma tabela. respectivamente. 1. acho interessante que você saiba que. nome. conteudo.

e por aí vai. Isto posto. conteudo. O valor não é manipulável pelo usuário ou aplicação. Por exemplo. O valor não contém nenhum significado semântico. Perceba que a superchave é um conceito mais abrangente do que o conceito de chave primária. Em outras palavras.ORG . A superchave.estrategiaconcursos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 2 3 4 5 6 Paulo Paulo Marta Marta Rita (11) 99999-7777 (11) 3030-3131 (11) 5678-9012 (11) 99988-9876 (11) 98765-4321 Chave substituta: coluna não identificada. por sua vez. não podem existir duas ou mais linhas da tabela com o(s) mesmo(s) valores de uma superchave. portanto nunca reutilizado (ou seja. O valor é gerado pelo sistema(automaticamente). A chave primária é codigo.com. os atributos codigo e conteudo formam uma superchave. os atributos codigo.CONCURSEIROSUNIDOS. Prof. conteudo e data_criacao também formam uma superchave. O valor não é composto de vários valores a partir de diferentes domínios. na tabela Comentário: Comentario cod_arquivo) (codigo. Qualquer conjunto de atributos escolhido que inclua a chave primária formará uma superchave. nos permitem identificar de maneira unívoca uma entidade em um conjunto de entidades. marcada com * Algumas características da chave substituta:       O valor é único para a tabela. Superchave: Superchave é um conjunto de um ou mais atributos que.br 49 de 147 WWW. cod_usuario. em caso de exclusão. é qualquer conjunto de atributos que consegue a mesma coisa. data_criacao. O valor não é visível para o usuário ou aplicação (no caso de modelagem relacional). A chave primária é aquele atributo ou conjunto de atributos que garante que cada registro na tabela é único. Victor Dalton www. o número não será reutilizado). tomados coletivamente.

c) não pode conter atributos do tipo Data.ORG . organizando as transações. uma vez que você compreende um pouco mais sobre banco de dados. a Express tem preocupação de produzir modelos mais adequados. fazer controle de redundância. quando da implementação do banco de dados. e) não pode conter mais do que um atributo.estrategiaconcursos. A chave estrangeira é um atributo. b) não pode ser indexada. Victor Dalton www. por sua vez. Basta imaginar uma simples transação modificando múltiplas tabelas. que estabelece um relacionamento com uma chave primária em outra tabela. eu falei que o SGBD precisava gerenciar milhares de transações simultâneas. Lembra que. d) pode ser formada por mais de um atributo.CONCURSEIROSUNIDOS. Idealmente. A chave primária de uma relação de um banco de dados relacional a) só pode servir como chave estrangeira de. 1. embora você possa ter várias chaves estrangeiras em uma mesma tabela.com. A chave primária. impedindo que o Banco de Dados entre em um estado inconsistente. Resposta: alternativa d). verificando restrições de integridade. E quando as transações tentam modificar os mesmos campos de uma tabela ao mesmo tempo? É aí que entra o famoso controle de concorrência do SGBD.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 8) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – 2013) No projeto de bancos de dados relacionais. no máximo. Já não é algo simples para uma transação única.13 Gerenciamento de Transações Creio que podemos voltar a este aspecto. uma outra relação.br 50 de 147 WWW. no começo da apostila. toda transação em um banco de dados deverá ser: Prof. é um atributo ou conjunto de atributos que identifica um registro de maneira única em uma tabela. dentre outros? Acho que você compreende isso melhor agora.

ou não conseguirem terminar por entrar em conflito com outra que ocorra ao mesmo tempo. inclusive. Consistente: os dados deverão permanecer íntegros e obedientes às regras do banco de dados (metadados).br 51 de 147 WWW.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Atômica: ou a transação é feita ou não é feita. por várias partes do mundo. II.com. As propriedades (I) e (II) das transações em SGBDs.CONCURSEIROSUNIDOS. respectivamente. envolvendo várias tabelas. mas os SGBDs de grandes corporações trabalham com grandes bases de dados. podem sofrer interrupções inesperadas. Isolada: o resultado de uma transação executada concorrentemente a outra deve ser o mesmo que o de sua execução de forma isolada. mas transações complexas em um banco. Operações exteriores a uma dada transação jamais verão esta transação em estados intermediários. c) isolação e atomicidade. Parece óbvio. Às vezes parece óbvio. ou nenhuma delas acontece.ORG . com dados distribuídos. 9) (FCC – TJ/RJ – Analista Judiciário – Analista de Suporte – 2012) Considere: I. Se uma transação é concluída com sucesso (operação commit bem sucedida). o SGBD deverá ser capaz de reverter o que parcialmente foi modificado (realizar o rollback). Nesse caso. significam. Prof. Durável: os efeitos de uma transação em caso de sucesso (commit) devem persistir no banco de dados mesmo em presença de falhas. sofrendo constantes modificações. b) persistência e automação. Ou todas as ações da transação acontecem. d) durabilidade e atomicidade. Assegurar o ACID é um verdadeiro desafio. então seus efeitos são persistentes. a) durabilidade e consistência. Victor Dalton www. e) consistência e persistência. os dados modificados devem estar disponíveis em definitivo.estrategiaconcursos.

toda transação em um banco de dados deverá ser: Atômica: ou a transação é feita ou não é feita. etc. senhas. Portanto. Além dos metadados. Eles podem ser:  nomes das relações (tabelas). índices. Durável: os efeitos de uma transação em caso de sucesso (commit) devem persistir no banco de dados mesmo em presença de falhas.  mapeamentos (entre níveis externos.14 Catálogo do sistema (dicionário de dados) Uma vez visto o modelo relacional. Enfim.br 52 de 147 WWW.com.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Idealmente.ORG . também podem ser armazenados:    nomes de usuários autorizados. ou dicionário de dados.  domínios dos atributos.CONCURSEIROSUNIDOS. alternativa d). Isolada: o resultado de uma transação executada concorrentemente a outra deve ser o mesmo que o de sua execução de forma isolada. mas também os metadados. ou Dicionário de Dados. Um SGBD. creio que seja mais simples entender o papel do catálogo. Victor Dalton www. Prof. Consistente: os dados deverão permanecer íntegros e obedientes às regras do banco de. ao implementar o modelo relacional. 1.estrategiaconcursos. essa série de informações que possibilitam o correto gerenciamento da Base de Dados fica armazenada naquilo que chamamos de Catálogo. precisa armazenar não somente os dados propriamente ditos.  restrições de integridade.  nomes dos atributos das relações. conceitual e interno).

br 53 de 147 WWW.ORG .com.estrategiaconcursos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Catálogo de Dados: Ilustração Prof.CONCURSEIROSUNIDOS. Victor Dalton www.

CONCURSEIROSUNIDOS. não contém suas tuplas armazenadas no banco de dados. Por não existir fisicamente.estrategiaconcursos. pode não ser bom que todos os usuários finais vejam o esquema conceitual completo.br 54 de 147 WWW. A visão. um recurso muito eficiente é a utilização de visões (views). ou até mesmo para sua compreensão. View é uma tabela única derivada de outras tabelas. pode ser considerada uma tabela virtual. diferentemente das tabelas básicas.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 1.15 Views Conforme explicado na arquitetura três esquemas de um SGBD.com. seja por questões de segurança. o nível externo descreve a cada usuário apenas a visão pertinente ao mesmo. Victor Dalton www. Para tal. Voltemos ao exemplo de Projeto e Departamento: DEPARTAMENTO CodDepartamento NomeDepartamento CodGerente MKT Marketing 001 ADM Administração 003 CodProjeto NomeProjeto CodDepResponsavel P01 Inovação MKT P02 Reestruturação ADM P03 Vender Mais MKT P04 Novo Produto MKT PROJETO Prof. Afinal de contas.ORG .

1. 1. Ainda.1 Views materializadas Certos SGBDs garantem que. pode ser conveniente criar uma visão para o usuário.15.br 55 de 147 WWW. campos que não sejam muito úteis ao usuário final. como CodigoProjeto e CodigoDepartamento.2 Atualização de uma view Prof.ORG . podem ficar ocultos. Vejamos a seguir. Abaixo: VISÃO PROJETO Projeto Departamento Responsável Inovação Marketing Reestruturação Administração Vender Mais Marketing Novo Produto Marketing Compreendeu a utilidade da visão? É vantajoso utilizá-la quando o usuário realiza consultas muito frequentes a determinadas tabelas. em caso de modificação nas relações utilizadas em uma view. Victor Dalton www. que mostre apenas o Projeto e o nome do Departamento Responsável.estrategiaconcursos.com. Entretanto. e não do usuário. por sua natureza virtual. Essas views podem ser chamadas de views materializadas. A responsabilidade pela atualização da view será sempre do SGBD.CONCURSEIROSUNIDOS. as visões apresentam algumas restrições.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Dadas estas tabelas. a mesma permanecerá atualizada.15.

pois ela envolve duas tabelas. ou possuir valor default. não seria obstáculo para a modificação da view. Voltemos ao nosso exemplo: VISÃO PROJETO Projeto Departamento Responsável Inovação Marketing Reestruturação Administração Vender Mais Marketing Novo Produto Marketing Esta view não permite a modificação dos dados. via de regra. Victor Dalton www.estrategiaconcursos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 As views. caso ela viesse somente da tabela Projeto. Projeto e Departamento. Não existem registros em uma view. ou poder ser nulo (null). uma view deverá:  Influenciar apenas uma tabela do banco de dados. Para ser atualizável. por exemplo). lembra? Entretanto.br 56 de 147 WWW.CONCURSEIROSUNIDOS. atualizar ou excluir algum dado da view. ou esse atributo deve ser gerado automaticamente (no caso de um código. inserção ou exclusão de informações.com. O atributo oculto CodProjeto.ORG . poderíamos inserir. Quando se modifica uma view. por ser gerado automaticamente (neste exemplo). os dados da tabela de origem são modificados. apresentam restrições quanto à atualização. por sua natureza virtual. pois a tabela é virtual! Prof.  Em caso de atributos ocultos na view.

pode-se substituir. É uma definição bem tranquila de assimilar. Através do processo matemático da normalização.ORG . dado um valor X. um conjunto de Entidades e Relacionamentos por um outro. Nome Paulo Telefone (11) 99999-8888 Prof. Esses passos reduzem a redundância de dados e as chances dos dados se tornarem inconsistentes. uma dependência funcional entre dois atributos X e Y é uma restrição nos possíveis valores de Y. Alteração e Exclusão).Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 1. nesta mesma tabela.CONCURSEIROSUNIDOS. que permitem um armazenamento consistente e um eficiente acesso aos dados em bancos de dados relacionais. mais “adequado”.br 57 de 147 WWW. Por exemplo. gradativamente. vejamos o conceito de dependência funcional. O atributo telefone está multivalorado em alguns registros. Veja abaixo uma tabela que não está na primeira forma normal. Em linhas gerais. e otimizar a performance do Banco de Dados. Victor Dalton www. em relação a anomalias de atualização (Inclusão. e outra que está: Nome Paulo Marta Rita Telefone (11) 99999-8888 (11) 99999-7777 (11) 3030-3131 (11) 5678-9012 (11) 99988-9876 (11) 98765-4321 A tabela acima não está na primeira forma normal (1FN). Ela consiste de um processo matemático formal fundamentado na Teoria dos Conjuntos. vejamos as formas normais: 1ª Forma Normal – uma tabela está na primeira forma normal se não possuir atributos multivalorados.16 Normalização em Bancos de Dados A normalização de dados é uma série de passos que se seguem no projeto de um banco de dados. Antes de explicar as formas normais. o valor na coluna CPF de uma tabela certamente restringirá o valor NOMECOMPLETO.estrategiaconcursos.com. Entendendo dependência funcional. Tudo com o objetivo de deixar o banco da dados mais “organizado”.

tipo. Perceba que.ORG . descrição) Empregados(code. descrição) Empregados(code. a tabela deverá estar na 2FN e cada atributo nãochave não pode possuir dependência transitiva. Veja este exemplo: Projetos(codp. nome. sendo que apenas X é chave da relação.estrategiaconcursos. data_início. salário) ProjEmp(codp. salário possui dependência funcional de categoria. não ocorre a dependência funcional total da chave primária.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Paulo Paulo Marta Marta Rita (11) 99999-7777 (11) 3030-3131 (11) 5678-9012 (11) 99988-9876 (11) 98765-4321 Agora a tabela encontra-se na 1FN. os atributos nome. A solução. tipo. Para isso. 2ª Forma Normal – uma tabela estará na segunda forma normal se. categ. Se algum atributo da tabela depender funcionalmente apenas de parte da chave primária. tipo. categ. na segunda forma normal. nome. data_início_projeto.com. ou seja. tempo_aloc) Prof. tempo_aloc_projeto) Neste exemplo. descrição) EmpregadosProjetos(code. Na prática. então este atributo deverá migrar para outra tabela. salário. categ) Categorias(categ. categ e salário da tabela EMPREGADOSPROJETOS se relacionam apenas com code. tempo_aloc) 3ª Forma Normal – envolve o conceito de dependência transitiva.br 58 de 147 WWW.CONCURSEIROSUNIDOS. Victor Dalton www. além de estar na 1FN.codp. code. todos os seus atributos não-chave forem depender funcionalmente da chave inteira. para cada chave candidata da relação. code. uma solução na terceira forma normal seria: Projetos(codp. esta tabela não estará na terceira forma normal. seria: Projetos(codp. nome. Assim sendo. salário) ProjEmp(codp. data_início. se Z depende de Y e Y depende de X. O atributo multivalorado foi “atomizado” por meio da criação de tuplas adicionais. na solução para a segunda forma normal apresentada anteriormente.

Seria necessária a aplicação de alguma lógica para que fosse mostrado um único resultado de livro. CodPrj. com seus diferentes autores. CodEmp) Prof. cid-edit) AutLiv(nrol. todo atributo não-chave deve depender funcionalmente diretamente da chave primária. com autores distintos. ou seja. todo determinante será chave candidata. ou seja.com. mas acaba sendo mais rígida. filtrando por assunto. não podem existir dependências multivaloradas. autor. Victor Dalton www. título. assunto) Perceba que um mesmo livro que possua vários autores receberá múltiplas entradas na tabela AutAssLiv com a repetição do atributo assunto. Forma Normal de Boyce Codd (FNBC) – foi proposta como uma forma mais simples de 3FN.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Forma Normal de Boyce-Codd(BCNF) – além da 3FN. não pode haver dependências entre atributos não-chave. editora. Por exemplo: ProjetoRecurso(CodEmp. Papel) R2(CodPrj. toda relação na FNBC está na 3FN.br 59 de 147 WWW. autor) AssLiv(nrol.estrategiaconcursos. editora. ano_public) Editoras(editora. Veja este exemplo: Livros(nrol. a seguir: Livros(nrol. Nesse caso. assunto) 5ª Forma Normal – Envolve a noção dependência de junção. mas a volta não é obrigatoriamente verdadeira. É uma afirmação um pouco mais forte que a 3FN. Uma tabela estará na BCNF se e somente se estiver na 3FN e todo atributo não chave depender funcionalmente diretamente da chave primária. Existem tabelas na 4FN que não podem ser divididas em duas relações sem perda de informação.ORG . ano_public) Editoras(editora. não há dependências entre atributos não chave. Uma eventual busca nesta tabela. retornaria várias vezes o mesmo livro. 4ª Forma Normal – além da 3FN. título. Isto pode ser contornado com a aplicação da 4FN. Papel) R1(CodEmp. cid-edit) AutAssLiv(nrol.CONCURSEIROSUNIDOS. Ou seja.

mas apenas atributos do tipo derivado. (D) houver um número mínimo de 3 atributos nessa relação.2014) Considerando o conceito de normalização existente em bancos de dados relacionais. 10) (FCC – TCE/RS – Auditor Público Externo – Processamento de Dados . ou seja. (B) não houver atributos do tipo numérico na chave primária dessa relação. Ou seja. R2 seria uma tabela com o empregado e os possíveis papéis que ele pode exercer. precisa que todos os seus atributos não-chave forem dependam funcionalmente da chave inteira. (E) os atributos de R estiverem restritos a uma lista predefinida de valores. Para estar na segunda forma normal.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Sejam as relações R1 e R2 a decomposição da relação ProjetoRecurso. além de estar na 1FN. com um comprimento máximo de 20 caracteres.estrategiaconcursos. sendo que todos esses atributos devem ser do tipo composto. caso exista mais de um atributo compondo a chave primária. Victor Dalton www. uma vez que não será mais possível saber qual o papel que o empregado desempenhou em um projeto específico. (C) todos atributos que não fizerem parte da chave primária dessa relação forem completamente dependentes de sua chave primária. (A) todos atributos que não fizerem parte da chave primária dessa relação forem do tipo literal. uma relação R está na segunda forma normal se. sendo essa lista composta por um número máximo de valores. não podem existir atributos que dependam apenas de parte da chave. Prof. ao mesmo tempo que R1 seria uma tabela que relaciona os empregados e seus projetos.com. Resposta certa. além de estar na primeira forma normal. Decompor ProjetoRecurso em R2 e R1 implica em perda de informação.ORG . dependente de toda a chave e não apenas de parte dela. Realizar esta decomposição seria aplicar a quinta forma normal. alternativa c). A tabela ProjetoRecurso indica o empregado envolvido em um projeto e qual o seu papel. uma tabela.CONCURSEIROSUNIDOS.br 60 de 147 WWW.

br 61 de 147 WWW. empregado e projeto. Vamos visualizar a tabela EMPREGADO_PROJETO (cod_emp. o projeto também é removido.estrategiaconcursos. algumas anomalias podem surgir.com. pois cria menos tabelas. emp_nome) Prof. nome_proj). quando o último empregado de um projeto é removido. não se pode inserir um empegado sem ter um projeto associado. em que cod_emp é chave primária. de certa forma. um projeto mais adequado seria: EMPREGADO (cod_emp.1 Anomalias em bancos de dados Quando as boas práticas de normalização não são seguidas. Quando. Essa tabela sequer obedece à segunda forma normal. “amarrado” a outra informação. Um projetista iniciante pode escolher uma abordagem de projeto de banco de dados como essa. obedecendo às boas práticas de normalização? Certamente. Anomalia de remoção – quando se remove um projeto. e não se pode inserir um projeto sem ter um empregado associado. e possui duas entidades em uma tabela só. Anomalia de atualização – atualizar os dados de um projeto faz com que todos os empregados que pertençam ao projeto precisem ser atualizados. As anomalias são fruto de informações redundantes que comprometem espaço em disco e performance do banco de dados. Mas vejamos os tipos de anomalias que essa abordagem pode provocar: Anomalia de inserção – quando a inserção de uma informação está. Por outro lado. Percebeu a importância de uma boa abordagem de projeto de banco de dados.ORG . cod_Proj. todos os empregados associados são removidos.CONCURSEIROSUNIDOS. Victor Dalton www.16. emp_nome.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 1. por exemplo.

Suponhamos uma pesquisa em uma loja de departamento (tipo Lojas Americanas. um índice para um arquivo em um sistema de banco de dados funciona da mesma forma que um índice em ou livro (ou mesmo em um PDF.com. e pula diretamente para a página do assunto. Já imaginou uma varredura completa por todos os pedidos já registrados na loja. acha o item desejado. e essa solução passa pelos índices.17 Índices em bancos de dados Consultas em banco de dados podem ser muito lentas e demoradas. Victor Dalton www. Realizando uma analogia eficiente. Para procurar determinado conteúdo. Algumas variáveis precisam ser consideradas antes de se escolher o tipo de índice mais apropriado:  Tipos de acesso: envolve a forma pela qual se localiza um registro.br 62 de 147 WWW. nome_proj) 1. imagine essa consulta sendo feita toda vez que um cliente quiser visitar os seus pedidos.estrategiaconcursos. Índices são tratados no modelo físico do projeto de banco de dados. pois estão relacionados com a forma que os registros serão armazenados em disco. para depois realizar a pesquisa de forma mais refinada. Seria impraticável. você lê o índice no início do livro. e o seu grau de eficiência. especialmente quando existem muitos registros e tabelas. não é mesmo? Deve haver (e há) uma forma mais rápida de encontrar esses registros diretamente. existe técnica mais adequada em função do que se deseja indexar. No banco de dados. cod_Proj) PROJETO (cod_Proj. rs). só para achar alguns registros “soltos”? Agora. Não existe melhor técnica de indexação. Fast Shop) procurando todos os pedidos realizados pelo cliente número 108456. Prof.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 EMPREGADO_PROJETO (cod_emp. ferramenta essencial em otimização de bancos de dados. é a “mesma coisa”.CONCURSEIROSUNIDOS.ORG .

 Tempo de exclusão: idem à inserção. Engloba encontrar o local para inserir o novo item de dados e o tempo para atualizar a estrutura de índice. Vejamos. Desta forma. sua implementação é compensadora.ORG . é possível criar índices de agrupamento (clustering).17. Prof.com. sobre diferentes chaves de busca. sucintamente. Via de regra. também. Os índices de agrupamento podem ser: Densos: quando são criados registros de índices para cada valor de chave de busca no arquivo. pode ter vários índices. em sentido oposto.CONCURSEIROSUNIDOS.  Espaço adicional: estruturas de índices ocupam espaço em disco. Índice denso.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04  Tempo de inserção: é o tempo contabilizado para a inserção do registro. como um atributo numerado. pois é realizada em bancos de dados volumosos.1 – Índices ordenados Os próprios registros em uma base de dados podem possuir alguma ordem classificada. A depender do algoritmo escolhido. ou índices primários. alguns tipos de índices. Victor Dalton www. cada registro possuirá um ponteiro no índice. excluir um registo pode ser muito mais trabalhoso do que inseri-lo. Um arquivo. 1.estrategiaconcursos. Caso o arquivo que contenha os registros esteja ordenado sequencialmente.br 63 de 147 WWW.

Perceba que nem todo bairro possui registro de índice. embora pareça óbvia a aplicação sobre as chaves primárias das tabelas. Assim sendo. Prof. por exemplo.com. campos que se repetem (não distintos – Perryridge e Downtown são exemplos). qualquer atributo). em especial os densos. Na tabela acima. Índices multiníveis são aqueles que possuem dois ou mais níveis de índice. o que pode impactar diretamente no tempo de busca dentro do próprio índice. tanto os índices esparsos quanto os densos podem ser aplicados em qualquer chave de busca (ou seja. Índice esparso. agrupando.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Esparsos: quando são criados registros de índices apenas para alguns valores cada valor de chave de busca. Índices esparsos ocupam menos espaço em disco. inclusive. em detrimento do tempo de busca. Victor Dalton www. perceba que um campo não chave foi utlizado no índice.CONCURSEIROSUNIDOS. Além disso. encontra-se o registo mais próximo do registro procurado e procede-se a varredura sequencial.ORG .br 64 de 147 WWW. crescem muito com o aumento do número de registros indexados. Os índices densos e esparsos. Uma forma de otimizar o tempo de busca nesses tipos de índice é a criação de índices multiníveis.estrategiaconcursos.

ou índices secundários.17. Quando uma chave de busca especifica uma ordem diferente da ordem sequencial.br 65 de 147 WWW.com. Normalmente os índices secundários são aplicados sobre atributos que não são chaves. uma vez que.CONCURSEIROSUNIDOS. estando os arquivos fora de ordem. é necessário que o índice seja capaz de encontrála na base de dados. Índice secundário.estrategiaconcursos. 1.ORG .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Índice multinível. os índices mais apropriados são chamados índices não de agrupamento. Victor Dalton www.2 – Árvore B+ Prof. Os índices secundários são densos.

o tempo para localização de cada registro aproxima-se do tempo médio de localização dos registros. em virtude de seu algoritmo complexo. Isso resulta em operações de entrada e saída. Prof. para muitos registros. Isso implica. Victor Dalton www.17. percebemos que. primeiramente.ORG . que criam nós e folhas. o que torna a localização de registros mais eficiente do que os índices ordenados. Uma solução a esse problema é a implementação de um índice em árvore B+. e nenhum registro é encontrado devagar demais”. organizar os arquivos de forma sequencial diminui a performance do banco de dados à medida que ele cresce. o que consome performance. para acessar os dados. 1.estrategiaconcursos. ou seja.com. Por outro lado.CONCURSEIROSUNIDOS. Árvore B+ As árvores B+ criam sobrecarga na inclusão e exclusão. grosso modo. a complexidade de busca em tais índices são da ordem de log n.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Como já vimos anteriormente. A árvore B é dita balanceada.3 – Índices de hash Nas estruturas anteriores. é necessário. em um índice multinível. acessar uma estrutura de índice para localizar os dados. além do aumento de espaço ocupado. que “nenhum registro é encontrado rápido demais.br 66 de 147 WWW. tanto na pesquisa do índice quanto na varredura dos dados. As organizações de arquivo baseadas em hashing procuram evitar o o acesso a uma estrutura de índice.

utiliza-se uma função aplicada sobre o próprio valor da chave para encontrar/inserir o registro. finda nossa parte teórica.estrategiaconcursos. Victor Dalton www. Por exemplo.ORG . perceba que esta proposta de armazenamento é razoável. Soluções de hashing dinâmicas são capazes de contornar essa situação. preferencialmente. claro. em uma função mod 10 (resto da divisão por 10).br 67 de 147 WWW. Porém. de modo que nenhuma unidade de armazenamento (bucket) seja sobrecarregada. as chaves (numéricas. é hora dos exercícios! Prof.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Essencialmente. criando mais buckets. distribuu os registros de forma uniforme. À custa.CONCURSEIROSUNIDOS.com. Em um universo numérico. de processamento. Pois bem. hashing requer cuidados para evitar o chamado estouro de bucket. Indexação por hashing. em um universo honesto de números. pois tende a distribuir uniformemente todos os registros. que é o acúmulo de registros em um bucket que excede a capacidade máxima do mesmo. Tal função. neste exemplo) seriam diretamente acessadas em virtude do resto de sua divisão por 10.

recuperação e alteração de dados. tais como tabelas. O que difere um Banco de Dados de um Bando de Dados? relacionamento e finalidade! Um banco de dados é um conjunto de dados relacionados com uma finalidade específica. por exemplo).2012) O projeto geral do banco de dados é a) o esquema do banco de dados. sinônimos. bem como suportar um negócio (como o estoque de produtos de um fornecedor. Victor Dalton www. você não corre o risco de marcar a alternativa a) ao invés da alternativa e).br 68 de 147 WWW.estrategiaconcursos. procedimentos armazenados.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 EXERCÍCIOS COMENTADOS 1ª Questão) (ESAF – Superintendência de Seguros Privados – Tecnologia da Informação . d) a versão inicial de instanciação dos dados a serem carregados no sistema. d) software que modela funções de definição. recuperação e alteração de dados e programas. Esta finalidade pode a produção de informação. ou um cadastro de funcionários.com.CONCURSEIROSUNIDOS. ou um órgão público. e) conjunto de dados integrados destinados a atender às necessidades de uma comunidade de usuários. para determinado público alvo (uma empresa.ORG . e) o esquema de atualização dos dados para manutenção de consistência.2010) Um banco de dados é um a) conjunto de objetos da realidade sobre os quais se deseja manter informações. visões. Prof. 2ª Questão) (ESAF – Analista de Finanças e controle – Fiscalização Geral . c) o esquema de dimensionamento físico-financeiro do banco de dados. Eles incluem estruturas. Conhecendo esta definição. Um esquema do banco de dados é uma coleção de objetos de um banco de dados que estão disponíveis para um determinado usuário ou grupo. Os objetos de um esquema são estruturas lógicas que se referem diretamente aos dados do banco de dados. índices. b) conjunto de operações sobre dados integrados destinados a modelar processos. c) software que incorpora as funções de definição. que é a correta. b) o planejamento estratégico do fluxo de dados. seqüências. agrupamentos e links de banco de dados. ou tudo isso junto).

independente de limitações quaisquer impostas por tecnologias. 3ª Questão) (FCC – TCE/SP .Agente da Fiscalização Financeira Produção e Banco de Dados – 2010) No catálogo são mantidos a) esquemas internos. invariavelmente. conceituais e externos. que englobam mapeamentos. suas características e relacionamentos têm a representação de acordo com as regras de implementação e limitantes impostos por algum tipo de tecnologia. dados das relações.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Ou seja. 4ª Questão) (FCC – TCE/AM – Analista Técnico de Controle Externo – Tecnologia da Informação . Victor Dalton www. será a correta. atributos. também chamado de dicionário de dados.2012) O modelo conceitual de dados a) é aquele em que os objetos. guarda os metadados do modelo relacional. externos e os metadados.com. técnicas de implementação ou dispositivos físicos. Alternativa a).br 69 de 147 WWW. suas características e relacionamentos têm a representação fiel ao ambiente observado. ao se elaborar um sistema. b) é aquele em que os objetos.CONCURSEIROSUNIDOS. e) apenas o mapeamento conceitual. d) apenas os esquemas internos. A alternativa mais abrangente. seu projeto de banco de dados é idealizado em um esquema (como a figura acima). Prof. O catálogo. mapeamentos e metadados.estrategiaconcursos. b) apenas os esquemas internos e os metadados. esquemas.ORG . Resposta: letra a). etc. c) apenas o esquema conceitual e os metadados.

e) está sempre associado às fases de projeto. A segunda fase é o projeto conceitual. Ilustração de modelagem conceitual usando o Diagrama E-R. Prof. Entrevista-se o usuário do banco para entendimento e documentação dos seus requisitos de dados.estrategiaconcursos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 c) é aquele elaborado respeitando-se e implementando-se conceitos tais como chaves de acesso. normalização. que sempre está associado à fase de análise.CONCURSEIROSUNIDOS. A modelagem conceitual empregada baseia-se no mais alto nível e deve ser usada para envolver o cliente. Posteriormente ocorre as especificações das necessidades funcionais. Victor Dalton www. controle de chaves duplicadas. principalmente o modelo que será utilizado para a implementação futura.ORG . atributos e restrições. é a especificação das necessidades do usuário do banco. contrastando com o modelo lógico. talvez seja necessário voltar ao projeto conceitual e realizar algumas modificações. Caso exista algum impedimento funcional para a implementação do banco. d) é a fase da modelagem na qual é necessário considerar todas as particularidades de implementação. relacionamentos.br 70 de 147 WWW. em que já se criam descrições detalhadas de tipos de entidades. que na prática. quando utilizado com as metodologias de desenvolvimento de sistemas e implementado por ferramentas CASE. itens de repetição (arrays). depreendidas do próprio projeto conceitual. ponteiros e integridade referencial. O modelo normalmente utilizado é o modelo entidade-relacionamento. A primeira fase do projeto do banco é o levantamento e análise de requisitos.com. entre outros.

com. caminhos de acesso e organizações de arquivo para os arquivos do banco de dados. lógico (ou representacional.ORG . Geralmente. que não tem detalhes de implementação nem dependência de tecnologia. e) escrito e prático. índices.CONCURSEIROSUNIDOS. Errada. Alternativa d). Já o modelo lógico está associado à fase de projeto. O mesmo modelo de banco de dados pode ser descrito em diversos níveis de abstração.br 71 de 147 WWW. Prof. Envolve conhecimento de Engenharia de Software. O modelo conceitual está mais ligado à fase de análise. Errada. Errada. utilizam-se os níveis a) conceitual e prático. já realiza o mapeamento do esquema conceitual para o modelo de dados que será usado. Por fim.estrategiaconcursos. por sua vez. Voltando à questão: a) b) c) d) e) Aborda o projeto lógico. Já passa a depender de regras de implementação e restrições tecnológicas. Especificações das necessidades funcionais. Projeto lógico. Visto na questão anterior! Modelo conceitual. temos o projeto físico. durante a qual são definidas as estruturas de armazenamento interno. 6ª Questão) (FCC – MPE/AM – Agente de Apoio – Programador 2013) Um sistema de banco de dados deve apresentar um projeto que visa a organização das informações e utilização de técnicas para que o futuro sistema obtenha boa performance e também facilite as manutenções que venham a acontecer. d) conceitual e lógico. O modelo de dados de implementação normalmente é o modelo de dados relacional. c) representativo e prático. ou de implementação)e físico. Errada. Victor Dalton www. Correta. A modelagem lógica.Agente Técnico Legislativo– Administração de Banco de Dados – 2010) Um modelo de banco de dados é uma descrição do tipo de informação que está ou será armazenada em um banco de dados. b) escrito e lógico. quando utilizado com as metodologias de desenvolvimento de sistemas e implementado por ferramentas CASE.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Em seguida aparece o projeto lógico. ou mapeamento do modelo de dados. 5ª Questão) (FCC – ALESP .

estrategiaconcursos. Alternativa c). constituem-se responsabilidades de um Administrador de Banco de Dados (DBA). c) monitorar o desempenho do servidor de banco de dados e tomar as providências necessárias para atender as demandas dos usuários e sistemas. d) Definição da ferramenta que será adotada. d) O projeto de um banco de dados é realizado por meio das fases Modelagem Lógica e Modelagem Física. pelo menos. b) Teste de integração. Alternativa a). A saber: Prof. Outra abordagem da mesma banca. a) Um banco de dados relacional é composto de roteamentos. A bibliografia cita 3 atores no processo de criação de um SGBD. duas fases: Modelagem conceitual e a) Projeto lógico.br 72 de 147 WWW. c) O projeto de um banco de dados é realizado segundo as fases Modelagem Conceitual. b) O projeto de um banco de dados é realizado segundo as fases Modelagem Procedural. e) Um banco de dados relacional é composto de configurações. e) definir e verificar periodicamente a segurança e integridade do servidor de banco de dados. b) realizar.Sistemas – 2010) Assinale a opção correta. c) Instalação.CONCURSEIROSUNIDOS.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 O projeto de banco de dados se dá em. Assim. 8ª Questão) (ESAF – Analista de Finanças e Controle – Desenvolvimento de Sistemas de Informação – 2008) Administrar um banco de dados constitui-se basicamente em instalar. Victor Dalton www.com. exceto: a) planejar o projeto físico do banco de dados. e) Teste de carga. Projeto Físico. Projeto Operacional. monitorar e solucionar problemas em um SGBD (Sistema Gerenciador de Banco de Dados). configurar. testar e manter cópias de segurança dos dados periodicamente. 7ª Questão) (ESAF – CVM – Analista .ORG . Projeto Lógico. d) definir regras para a nomenclatura utilizada nas tabelas e nos esquemas do banco de dados. Projeto Lógico.

9ª Questão) (FCC – INFRAERO – Analista de Sistema – Banco de Dados e Administrador de Dados .ORG . d) desempenho. sem se prender a detalhes. e) custo. d) tolerância a falhas. e) restauração. Ao efetuar uma transação B em paralelo. Resposta certa. Tal mecanismo é alcançado por meio se uma série de mecanismos chamados de esquemas de controle de concorrência.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Projetista do Banco de Dados – os idealizadores do banco. Para assegurar o isolamento de uma transação (I do ACID) o SGBD precisa controlar a interação entre as transações concorrentes (transações simultâneas que podem acessar e/ou manipular registros em comum). Prof. Tais procedimentos se referem à característica de um SGBD denominada controle de a) integridade. acho que as únicas alternativas que podem colocar o candidato em dúvida são as alternativas a) e d). b) compartilhamento de dados. antes do BD.CONCURSEIROSUNIDOS. e o utilizam após sua criação. c) restrição a acesso não autorizado. Conversam com os usuários para especificar requisitos e modelam conceitualmente o banco. b) concorrência. pois as demais alternativas nitidamente são atribuições do DBA (apelido para o Administrador do Banco de Dados). c) restrição. alternativa b). Administrador do Banco de Dados – implementam o banco e cuidam dele durante seu ciclo de vida. Um olhar mais atento vai fazer você notar que a alternativa d) é uma atribuição do projetista do banco.com. 10ª Questão) (FCC – ALESP – Agente Técnico Legislativo – Administração de Banco de Dados – 2010) NÃO é uma vantagem do SGBD: a) controle de redundância. o SGBD automaticamente bloqueia cada parte do banco que essa transação altera ou requisita. sendo esta a alternativa a ser marcada.br 73 de 147 WWW.estrategiaconcursos. Com estes conceitos em mente. o SGBD também bloqueia partes do banco de dados que essa transação acessa. Usuário do Banco de Dados (ou Usuário Final) – especificam suas necessidades.2011) Quando uma transação A acessa o banco de dados. Victor Dalton www.

e) faz a gerência de uma ou mais bases de dados. interna e externa. b) externa.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Já sabemos que adotar um SGBD custa caro! Alternativa e). Para relembrar! Prof. d) conceitual. Das várias alternativas confusas. Victor Dalton www. b) prepara aplicações para que possam acessar um ou mais bancos de dados. externa e interna. a alternativa e) apresenta uma afirmativa completa e coerente. interna e conceitual. limitados aos formatos UNICODE ou ASCII. 12ª Questão) (FCC – TCE/SP . que gera um modelo de banco de dados para ser implementado em um servidor. que passam por outros ramos da TI. permitindo o armazenamento e consulta de dados e informações pelos usuários finais e programas de aplicação. 11ª Questão) (FCC – TST – Analista Judiciário – Análise de Sistemas – 2012) Um Sistema de Gerenciamento de Bancos de Dados (SGBD) a) é um ambiente de suporte ao desenvolvimento de projetos de banco de dados relacionais. armazenados em bancos de dados.ORG . conceitual e interna. pela ordem.com. são: a) externa. c) conceitual. c) oferece um conjunto de ferramentas que possibilitam o gerenciamento de diferentes arquivos do tipo texto ou do tipo binário.estrategiaconcursos.CONCURSEIROSUNIDOS. o JDBC (Java Data Base Connectivity) é um SGBD capaz de acessar dados de diferentes bancos. Na linguagem de programação Java.br 74 de 147 WWW. desde a mais próxima do usuário até a mais distante. d) consiste em uma tecnologia de servidores que opera sobre o protocolo HTTP para a troca de dados e informações através de arquivos que transportam mensagens no formato HTML. e) interna. por exemplo. conceitual e externa.Agente da Fiscalização Financeira Produção e Banco de Dados – 2010) As três visões da arquitetura básica de um SGBD.

Em um projeto arquitetural. Nível lógico de comunidade ou apenas lógico (mais abstrato que o físico e diferente da visão do usuário individual). conceitual e interno. III. Relembrando: Nível externo: abrange os esquemas externos. provavelmente relacionada aos cursos que realiza. interno e conceitual.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Alternativa a). de um sistema de aulas online. O que se ocupa do modo como os dados são fisicamente armazenados. 13ª Questão) (FCC – SEFAZ/SP .CONCURSEIROSUNIDOS.br 75 de 147 WWW. ou visões de usuário. Cada esquema descreverá apenas a visão pertinente de cada usuário a respeito do Banco de Dados. somente determinada parte do BD lhe é relevante.com. Por exemplo. respectivamente. b) externo.Agente Fiscal de Rendas – Tecnologia da Informação – 2009) Considere: I. externo e conceitual. c) interno. externo e interno. os itens I. Victor Dalton www. d) interno. II e III são classificados. conceitual e externo. como níveis a) externo. O que se ocupa do modo como os dados são vistos por usuários individuais. II.estrategiaconcursos. e) conceitual. Para um administrador Prof.ORG . para um aluno. ocultando o restante.

ORG . Oculta detalhes do armazenamento físico. ou seja. Victor Dalton www. O Nível conceitual: a) garante a integridade dos dados por aplicação de criptografia e o controle de blocos de acesso.com. A Prof. tipos de dados e restrições. aspectos administrativos serão mais relevantes. O mais interessante.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 financeiro desse sistemas. Nível físico: é o nível mais baixo de abstração. entretanto.estrategiaconcursos. Nível de visão do usuário: as partes do banco de dados que o usuário tem acesso de acordo com a necessidade individual de cada usuário ou grupo de usuários. e) define quais os dados que estão armazenados e qual o relacionamento entre eles. que descreve o banco de dados como um todo. relacionados aos pagamentos dos cursos e de pessoal. contanto que os mesmos estejam disponíveis no momento necessário. Alternativa c). Nível interno: apresenta um esquema interno. Mais uma questão envolvendo os níveis. III.CONCURSEIROSUNIDOS. II. d) apresenta o conceito de acesso (simétrico ou assimétrico) e as chaves que serão utilizadas. Nível conceitual. para o usuário do banco de dados pouco importa qual a unidade de armazenamento está sendo usada para guardar seus dados. b) especifica a maneira como os dados devem ser transferidos para a memória. 14ª Questão) (FCC – MPE/AM – Agente de Apoio – Programador 2013) O sistema de banco de dados deve garantir uma visão totalmente abstrata do banco de dados para o usuário. é que as alternativas de a) a d) aproximam-se do nível físico de abstração. descrevendo a estrutura de armazenamento físicos do banco de dados. enfatizando entidades. por sua vez. em que define efetivamente de que maneira os dados estão armazenados. c) determina o tipo de segurança que será utilizado no acesso aos dados. Nível conceitual: possui um esquema conceitual. Esta abstração se dá em três níveis: I.br 76 de 147 WWW.

operações de usuários e restrições. apenas. Victor Dalton www. possivelmente baseado em um projeto de esquema externo em um modelo de dados de alto nível. pois no nível conceitual definem-se relações. Nessa arquitetura. Questão sem maiores dificuldades. tipos de dados. o objetivo da arquitetura de três-esquemas é separar o usuário da aplicação do banco de dados físico. Alternativa d). II e III. Cada esquema interno descreve a parte do banco de dados que um dado grupo de usuários tem interesse e oculta o restante do banco de dados desse grupo.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 alternativa e) é a correta. dentre outros. Como no item anterior. III.CONCURSEIROSUNIDOS.br 77 de 147 WWW.com.ORG . O esquema conceitual oculta os detalhes das estruturas de armazenamento físico e se concentra na descrição de entidades. Os itens I e II estão corretos. 16ª Questão) (FCC – SEFAZ/SP .estrategiaconcursos. tipos de dados. apenas. enquanto o item III descreve o nível externo. Esse esquema de implementação conceitual é normalmente baseado em um projeto de esquema conceitual em um modelo de dados de alto nível. d) I e II.Agente Fiscal de Rendas – Tecnologia da Informação – 2009) A independência de dados física e a Prof. 15ª Questão) (FCC – MPE/SE – Analista – Gestão e Análise de Projeto de Sistema . restrições de integridade. um modelo de dados representacional é usado para descrever o esquema conceitual quando o sistema de banco de dados for implementado. conexões. Geralmente.2013) Em projetos de Banco de Dados. Está correto o que se afirma em a) II. O nível interno tem um esquema que descreve a estrutura de armazenamento físico do banco de dados. cada esquema é tipicamente implementado usando-se um modelo de dados representacional. O nível interno ainda abrange os esquemas externos ou visões de usuários. Esse esquema utiliza um modelo de dado físico e descreve os detalhes complexos do armazenamento de dados e caminhos de acesso ao banco. II. c) I. b) II e III. O nível conceitual possui um esquema que descreve a estrutura de todo o banco de dados para a comunidade de usuários. apenas. apenas. e) III. os esquemas podem ser definidos por três níveis: I.

respectivamente. e) consultas em SQL sobre um banco de dados relacional. d) ou mais mapeamentos internos/externos e por um mapeamento conceitual/interno. Prof. d) consultas em SQL sobre um banco de dados relacional. c) mudanças no nível externo.estrategiaconcursos. b) mapeamento conceitual/interno e por um ou mais mapeamentos externos/conceituais. por um a) ou mais mapeamentos conceituais/internos e por um ou mais mapeamentos internos/externos. um mapeamento adequando do nível conceitual para o nível interno possibilita a independência física. De maneira análoga.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 independência de dados lógica são possibilitadas de forma ideal. Alternativa b). corresponde à capacidade de se efetuarem a) mudanças no nível conceitual. Victor Dalton www.br 78 de 147 WWW. sem a necessidade de modificações nos níveis interno e conceitual.CONCURSEIROSUNIDOS. sem a necessidade de modificações no nível externo e em programas aplicativos. c) mapeamento interno/externo e por um mapeamento conceitual/interno. 17ª Questão) (Cesgranrio – Petrobrás – Analista de Sistemas Júnior – Engenharia de Software – 2010) A independência de dados lógica. independente da estruturação física dos dados armazenados. sem a necessidade de modificações nos níveis conceitual e externo. e) mapeamento conceitual/externo e por um mais mapeamentos conceituais/internos. b) mudanças no nível interno. Alternativa a). Nos nossos autos. consta que Independência lógica é a capacidade de alterar o esquema conceitual sem precisar modificar os esquemas externos.com.ORG . Coopera para o alcance da independência lógica um mapeamento bem feito dos níveis externos para o nível conceitual. definição componente da arquitetura de três esquemas para sistemas de banco de dados. Independência física é a capacidade de alterar o esquema interno sem precisar modificar o esquema conceitual. independente da lógica de programação usada em programas aplicativos.

Nele. Prof. para dois relacionamentos 1:N entre os registros A e D e entre os registros C e D é possível construir um relacionamento M:N entre A e D.estrategiaconcursos.2012) É o modelo de dados que eliminou o conceito de hierarquia. d) polimorfismo. e) agregação. Revisitando o histórico dos modelos Modelo hierárquico: O modelo hierárquico foi o primeiro a ser reconhecido como um modelo de dados. Victor Dalton www. podendo modificar o esquema conceitual para expandir o banco de dados (adicionando um tipo de registro ou item de dados). b) modelo conceitual.2013) A capacidade de alterar o esquema conceitual sem mudar o esquema externo ou os programas.ORG . Os registros. Assim. permitem o tipo de associação que define uma relação 1:N entre os tipos de registros proprietário e membro.CONCURSEIROSUNIDOS. organizados em grafos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 18ª Questão) (FCC – MPE/SE – Analista – Gestão e Análise de Projeto de Sistema . d) orientado a objetos. variar as restrições ou reduzir o banco de dados (removendo um tipo de registro ou item de dados) é chamada de a) modularidade.br 79 de 147 WWW. c) hierárquico. permitindo que um mesmo registro estivesse envolvido em várias associações. Trata-se do modelo a) em rede. os registros são conectados em uma estrutura de dados em árvore. b) relacional. c) independência lógica de dados. Alternativa c). similar a uma árvore invertida (ou às raízes de uma árvore). e) distribuído. 19ª Questão) (FCC – TRE/SP – Analista Judiciário – Análise de Sistemas .com.

estrategiaconcursos. em tese. a estrutura em árvore se desfaz. cada registro filho pudesse ser ligado a mais de um registro pai. Modelo Entidade/Relacionamento: O modelo de EntidadeRelacionamento (E-R) é baseado na percepção de um mundo real que consiste em uma coleção de objetos básicos.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Modelo em rede: o modelo em rede acabou eliminando a hierarquia.com.ORG .br 80 de 147 WWW. e os relacionamentos entre esses objetos (existem autores que falam em relação para descrever relacionamentos. Modelo de dados orientado a objetos: É uma extensão do modelo ER com noções de encapsulamento de identidade do objeto (isso será visto em programação). chamados entidades. Modelo relacional: O modelo relacional usa uma coleção de tabelas para representar os dados e as relações entre eles. Prof. pois passou a permitir que. Victor Dalton www.CONCURSEIROSUNIDOS. Relacionamentos N:M também passam a ser permitidos (lembrando que o relacionamento é estabelecido entre registros). Nesse caso. e passa a se assemelhar a uma estrutura em grafo.

e uma entidade de E2 pode estar associada a várias entidades de E1. c) o critério de classificação segundo o qual os relacionamentos associam entidades. O restante é para causar confusão. e)Um para muitos (1:N): uma entidade E1 pode estar associada a várias entidade E2 ou nenhuma. Alternativa d). d)Muitos para muitos (N:N): uma entidade E1 pode estar associada a várias entidade E2. b)Um para muitos (1:N): uma entidade E1 pode estar associada a várias entidades E2. por meio de um relacionamento.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Modelo de dados objeto-relacional: Combina características do modelo relacional com o modelo orientado a objetos. e uma entidade de E2 pode estar associada a no máximo uma entidade E1. a cardinalidade de mapeamento expressa a) o número de entidades ao qual um relacionamento pode estar associado a um outro relacionamento. através de R. Victor Dalton www. c)Muitos para um (N:1): uma entidade E1 pode estar associada no máximo a uma entidade E2. e uma entidade de E2 pode estar associada a várias entidades de E1.com. e) o posicionamento de uma entidade dentro do mapeamento do modelo. volte à questão e responda o que se pede. b) o número de relacionamentos ao qual outro relacionamento pode estar associado via uma entidade.CONCURSEIROSUNIDOS. d) o número de entidades ao qual outra entidade pode estar associada via um relacionamento. 21ª Questão) (UEL – Sercomtel – Informática III – 2005) Para um conjunto de relacionamentos binários a cardinalidade NÃO pode ser: a)Um para um (1:1): uma entidade E1 pode estar associada no máximo a uma entidade E2 através de R. Visto essas informações.ORG . Sabemos que a cardinalidade serve para expressar o número de entidades que uma entidade pode associar-se.br 81 de 147 WWW. Acredito que você marcará a alternativa a).estrategiaconcursos. e uma entidade de E2 pode estar associada a no máximo uma entidade E1. 20ª Questão) (ESAF – MPOG – Analista de Planejamento e Orçamento – Tecnologia da Informação – 2009) No modelo entidaderelacionamento. Prof. e uma entidade de E2 pode estar associada a nenhuma ou muitas entidades de E1.

vejo que nem todo empregado gerencia departamento. c) empregado trabalha em zero ou mais projetos e gerencia exatamente um departamento.ORG .2012) Considere o seguinte diagrama ER parcial de um banco de dados. Linhas simples. A alternativa incorreta.CONCURSEIROSUNIDOS. De acordo com a cardinalidade das associações.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Conhecida a cardinalidade. pois a cardinalidade é 1:1. Victor Dalton www. você já resolve a questão. Se lembra como interpretar esse diagrama? Vem comigo! Empregado gerencia departamento. e relacionamento N pra M. Isso quer dizer que nem todo empregado trabalha em um projeto. Empregado trabalha em projeto. d) departamento é gerenciado por exatamente um empregado e controla pelo menos um projeto. letra e). b) empregado trabalha em pelo menos um projeto e gerencia exatamente um departamento.estrategiaconcursos. e apenas um. As quatro primeiras alternativas exemplificam bem as várias cardinalidades.com.br 82 de 147 WWW. 22ª Questão) (FCC – Prefeitura de SP – Auditor Fiscal Tributário Municipal I – Tecnologia da Informação . um a) projeto emprega pelo menos um empregado e é controlado por exatamente um departamento. mas todo departamento tem um gerente. e nem Prof. Pelas linhas simples e duplas. e) departamento é gerenciado por exatamente um empregado e controla zero ou mais projetos.

estrategiaconcursos. Victor Dalton www.com. e) todos os atributos do conjunto de entidades são indexados com a técnica de árvores binárias.br 83 de 147 WWW. Leia alternativa a alternativa. conforme expliquei para você na teoria. e apenas um! Conseguiu acompanhar? Agora você tem uma questão de lógica para resolver. e descubra porque a alternativa e) é a correta. no mínimo. 23ª Questão) (FCC – MPE/MA – Analista Ministerial – Banco de Dados . ao invés de falar “cada entidade” do “conjunto de entidades”. pode haver a indicação de que um conjunto de entidades tem participação total em um conjunto de relacionamentos. e projetos podem ter vários empregados. Participação total e parcial! A linha dupla indica participação total. me refiro à entidade projeto de modo genérico. Quando se fala de cada entidade Projeto.ORG . Um empregado pode trabalhar em vários projetos.CONCURSEIROSUNIDOS. d) cada entidade do conjunto de entidades participa em pelo menos um relacionamento do conjunto de relacionamentos. Já a linha simples indica o relacionamento. Logo.2013) Quando do projeto de um banco de dados relacional. Cardinalidade 1 pra N. e a entidade ligada por linha dupla exige que ela se relacione com pelo menos uma entidade do outro lado do relacionamento. correspondem ao registros que estão no Banco de Dados. isto significa que a) cada entidade do conjunto de entidades participa em todos os relacionamentos do conjunto de relacionamentos. mas pode ser que nem toda entidade possua um relacionamento.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 todo projeto tem empregados. b) há. falasse “instância das entidades” das “entidades”. Prof. na verdade estão se referindo às instâncias de entidade. linhas duplas em projeto. nem todo departamento controla projeto. Quando se fala da entidade Projeto. A questão seria bem mais clara se ela. na prática. Você lembra disso? Uma coisa ruim das bancas é não diferenciar entidade de instância de entidade. metade das entidades do conjunto de entidades que participam em pelo menos um relacionamento do conjunto de relacionamentos. em tese. Departamento controla projeto. mas cada projeto tem que ter um departamento que o controle. que. c) as entidades do conjunto de entidades não possuem atributos do tipo booleano ou do tipo data.

. Victor Dalton www. a alternativa c) é a correta.ORG . Exercite seu entendimento! 25ª Questão) (FCC – MPE/MA – Analista Ministerial – Banco de Dados .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Nossa resposta certa. e) o número de lojas é impar. pode-se afirmar que a) uma loja não possui todos os produtos.. Utiliza basicamente um losango para representar ..I. pois fazem afirmações mais contundentes do que as contidas no diagrama. .. por a) relacionamentos – entidades b) atributos − relacionamentos c) entidades − relacionamentos d) entidades − atributos e) atributos − entidades Relembrando: Retângulos: são as entidades. alternativa d).. Outra questão para exercitar seu entendimento do modelo E-R.CONCURSEIROSUNIDOS. d) um mesmo produto não pode estar em mais de uma loja.. As lacunas I e II são preenchidas..2013) A técnica de diagramação no modelo de EntidadeRelacionamento é bem simples. correta e respectivamente. c) cada departamento pode possuir vários produtos.estrategiaconcursos.com.II. Prof. Elipses: representam os atributos (ausente neste diagrama).br 84 de 147 WWW.2013) Considere o seguinte diagrama Entidade-Relacionamento. resultante da modelagem de um banco de dados relacional: A partir desse diagrama.. Losangos: representam os relacionamentos. e um retângulo para representar . 24ª Questão) (FCC – MPE/MA – Analista Ministerial – Banco de Dados . e as demais são premissas falsas. b) uma loja possui um número par de departamentos. De antemão.

deixando a cargo do sistema gerenciador do banco de dados a tarefa de estabelecer estruturas de armazenamento de dados bem como os procedimentos de recuperação destes dados para responder consultas. c) incorreto.com.2012) Um banco de dados relacional é um banco de dados projetado segundo o chamado modelo relacional. O objetivo do modelo é o de proporcionar uma linguagem declarativa para a descrição tanto dos dados como de consultas a seu respeito. d) incorreto. Você está apenas declarando o que quer. O texto acima está a) incorreto. alternativa a). Tópicos importantes da longa sentença: Lógica de predicados de primeira ordem: sem nos aprofundarmos muito. porque nos bancos de dados relacionais. de maneira que o usuário declara tanto a informação contida no banco de dados como a informação que dele deseja extrair. e) incorreto.. porque o modelo relacional foi proposto há menos de 30 anos.ORG . Quando você procura uma passagem para um trecho em um determinado dia e clica em cima do botão compre seu bilhete.a cargo do sistema gerenciador do banco de dados a tarefa de estabelecer estruturas de armazenamento de dados bem como os procedimentos de recuperação destes dados para responder consultas”:o que isso quer dizer? Vou direto a um exemplo. Linhas duplas: indicam participação total de uma entidade em um conjunto de relacionamentos. que é um modelo de banco de dados baseado na lógica de predicados de primeira ordem. ou “cada funcionário possui um único gerente”. Será o SGBD que. porque o modelo relacional não conduz naturalmente a uma linguagem declarativa de descrição de dados ou consultas. a tarefa de descrever os procedimentos de recuperação dos dados para a resposta a consultas é tarefa do usuário. Resposta certa. O site da TAM é uma aplicação.. porque o modelo relacional é baseado na lógica de predicados de segunda ordem. ao receber essas informações por meio da aplicação do Prof.br 85 de 147 WWW.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Linhas: vinculam conjuntos de entidades a conjuntos de relacionamentos. Victor Dalton www. não é você usuário que está buscando no banco de dados a informação. “.estrategiaconcursos. 26ª Questão) (FCC – TRT/6ª Região – Analista Judiciário – Tecnologia da Informação . b) correto.CONCURSEIROSUNIDOS. a lógica de predicados de primeira ordem está refletida em frases como “cada departamento possui um ou mais funcionários”. O modelo relacional foi proposto formalmente há mais de 40 anos.

Integridade de chave. As demais alternativas estão desmentidas dentro da própria frase gabarito.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 site. Integridade de entrada. monta pra você a tela dos trechos disponíveis pra compra. Integridade referencial. Aí a aplicação do site. Integridade de chave. realizará a busca na base de dados e trará a informação mastigada. Chave – impedindo que uma chave primária se repita. mas a leitura repetitiva destes termos vai fazer com que você cada vez mais absorva esse conteúdo com naturalidade. existem as seguintes categorias de restrições de integridade: a) Integridade de domínio.estrategiaconcursos. Já ficou mais “digerível”.com. Integridade de saída. etc.ORG .2010) Em Sistemas Gerenciadores de Bancos de Dados (SGBD). Referencial – assegurando que uma chave estrangeira possua respectiva associação na tabela de origem. 28ª Questão) (FCC – MPE/MA – Analista Ministerial – Banco de Dados .CONCURSEIROSUNIDOS. b) Integridade de acesso. d) Integridade de cardinalidade. Integridade de vazio. mas está completamente correta. São restrições de integridade:     Domínio – amarrando os possíveis valores de um atributo (inteiro.br 86 de 147 WWW. Não deixa de ser um subitem da integridade de domínio. Resposta certa. Integridade referencial. não nulo. Integridade de vazio. 27ª Questão) (ESAF – SUSEP – Analista Técnico – Tecnologia da Informação . tipo. A frase é longa. string. Integridade referencial. com as informações já extraídas. ou seja nula. Integridade associativa. Victor Dalton www. Integridade de usuários.2013) No projeto de bancos de dados relacionais é usual a tarefa de Prof. Entendeu? Agora releia a sentença. Integridade de autorização de acesso. Integridade de completude. e) Integridade de generalização/especialização. alternativa a).) Vazio – dizer se um campo pode ou não ser null. Alternativa b). Integridade de chave. Integridade posicional. Eu sei que existe muita nomenclatura técnica e nova para você. c) Integridade de domínio. positivo.

Victor Dalton www.ORG .com. e) referencial. número igual de atributos. d) a ausência de valor.br 87 de 147 WWW. (D) os conjuntos de entidades A e B possuem diversos atributos com a possibilidade de terem valores nulos. O correto. d) de chave. cada um deles.estrategiaconcursos. é que o valor nulo representa a ausência de valor. 29ª Questão) (FCC – ALESP – Agente Técnico Legislativo – Administração de Banco de Dados – 2010) NÃO é uma restrição de integridade básica: a) de vazio. e mais coerente dentre as alternativas. b) um valor especial designado pelo código ASCII da tecla #. quando se indica que há um conjunto de relacionamentos do tipo muitos para muitos entre 2 conjuntos de entidades A e B. Prof. c) de entidade. b) de domínio. e) um valor fora do domínio do atributo. O significado de um valor nulo é a) o valor zero. 30ª Questão) (FCC – TRT/1ª Região – Analista Judiciário – Tecnologia da Informação – 2014) No modelo entidade-relacionamento utilizado para modelar Bancos de Dados relacionais. c) o valor correspondente à tecla F12.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 permitir ou restringir a presença de valores nulos para determinados atributos. (B) uma entidade do conjunto A pode estar associada a várias entidades do conjunto B e vice-versa. Alternativa d). Alternativa c). (C) os conjuntos de entidades A e B possuem. significa que (A) uma entidade do conjunto A está sempre associada a mais de uma entidade de conjunto B e vice-versa.CONCURSEIROSUNIDOS.

c) uma tupla (formada por linhas e colunas). colunas das tabelas e restrições de manutenção. necessita de suas tabelas. Resposta correta. colunas das tabelas e restrições de integridade. ou vários. um banco de dados relacional.estrategiaconcursos. d) tabelas. uma entidade de A poderá se relacionar com várias entidades de B.2010) Um modelo de banco de dados relacional deve conter no mínimo a definição de a) tabelas. fundamentais para a consistência do banco de dados. e de suas restrições de integridade. Ex: Prof. e) associações de restrição.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 (E) uma entidade do conjunto B está associada a apenas uma entidade do conjunto A. 31ª Questão) (ESAF – Superintendência de Seguros Privados – Tecnologia da Informação . b) títulos. assim como uma entidade de B se relaciona com várias entidades de A. que possibilitem caracterizar aquele registro no banco como único. relações entre linhas das tabelas e opções de integridade. Pois então. alternativa b).com. Resposta certa.ORG .br 88 de 147 WWW. uma chave primária pode ser formada por uma ou mais colunas e deve possuir um identificador único para a) cada uma das colunas pertencente a essa chave. Victor Dalton www. mas uma entidade do conjunto A está associada a várias entidades do conjunto B. c) títulos. das colunas das tabelas(os seus atributos). Todo registro em um banco de dados precisa de um atributo. em sua concepção. colunas dos atributos e restrições de integridade. d) todos os registros da tabela. 32ª Questão) (FCC – TCE/AM – Analista Técnico de Controle Externo – Tecnologia da Informação . alternativa a). Em um relacionamento muitos-para-muitos entre A e B. colunas referenciadas e restrições de desempenho.2012) Em relação a bancos de dados. e) cada linha da tabela. b) cada coluna da tabela.CONCURSEIROSUNIDOS.

Chaves estrangeiras podem integrar chaves primárias de uma tabela! d) Quase! Uma chave primária é uma coluna ou uma combinação de colunas cujos valores distinguem uma linha das demais dentro de uma tabela. Uma chave primária é uma coluna ou uma combinação de colunas cujos valores distinguem uma tupla das demais dentro de uma tabela. c) Não necessariamente. A chave primária é o atributo(coluna) ou atributos(colunas). que asseguram que cada tupla (linha) da tabela é única. b) Certa.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 cod_cliente 1 3 endereco Rua Siqueira Campos. 1044 Avenida Mauá. Opa.estrategiaconcursos.com. 33ª Questão) (ESAF – Superintendência de Seguros Privados – Tecnologia da Informação – 2010) Em Abordagem Relacional a) uma chave relacionada é uma coluna cujos valores distinguem atributos de relacionamentos. o atributo codigo_cliente.CONCURSEIROSUNIDOS. b) a chave estrangeira é o mecanismo que permite a implementação de relacionamentos em um banco de dados relacional.br 89 de 147 WWW. 1044 Rua Siqueira Campos.ORG . Victor Dalton www. você já consegue responder esta questão? Vejamos as alternativas: a) Tão errada que lhe confunde. 1055 2 telefone (51) 32145000 (51) 32145000 (51) 32243364 (51) 32243364 cidade Porto Alegre estado RS Porto Alegre RS Porto Alegre RS Porto Alegre RS A diferenciação entre as tuplas (ou registros. c) a chave estrangeira é uma coluna ou uma combinação de colunas cujos valores não aparecem na chave primária de uma tabela. d) uma chave primária é uma linha ou uma combinação de linhas cujos valores distinguem uma coluna das demais dentro de uma tabela. Resposta certa. Prof. No caso. que são as linhas da tabela) se faz por meio da chave primária. 1055 4 Avenida Mauá. e) a chave estrangeira é uma linha ou uma combinação de linhas cujos valores necessariamente aparecem na chave primária de uma tabela. alternativa e).

a redação mais adequada seria “uma chave é um conjunto de atributos cujos valores identificam uma ocorrência de entidade de maneira única”. De qualquer forma. não se fala em tuplas.br 90 de 147 WWW. Isso está correto. Quando um relacionamento vira uma tabela. ou “uma chave é um conjunto de atributos cujos valores identificam uma instância de entidade de maneira única”. Você logo deve ter pensado: uma chave é um conjunto de atributos cujos valores identificam um (registro/tupla/linha da tabela) de maneira única. a FCC não anulou a questão. Explico na alternativa e). portanto. b) Errada. embora a questão não esteja bem redigida.ORG . No modelo entidade-relacionamento. a chave pode ser a composição das chaves primárias das entidades que relaciona. é a letra b). pois são conceitos independentes. c) Errada! O relacionamento associa entidades! d) Não necessariamente. a) entidades podem ter atributos. c) um relacionamento é uma associação entre atributos. ou registros. mas relacionamentos não podem ter atributos. Tem relacionamentos que nem tabela viram (como o exemplo usuario – comentario).2012) No modelo entidade-relacionamento.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 e)Não necessariamente. e) uma chave é um conjunto de atributos cujos valores identificam uma entidade de maneira única. Victor Dalton www. e) Correta. fala-se em instância ou ocorrência da entidade. Prof. Logo. No modelo ER. A chave que restringe unicidade (a primária) pode ou não ser a chave que restringe relacionamento (a estrangeira).estrategiaconcursos. d) todo relacionamento tem uma chave.com. Nossa resposta correta. ou seja. Outra questão do modelo entidade-relacionamento. quando queremos nos referir a um registro.CONCURSEIROSUNIDOS. Vamos lá: a) Entidades podem ter atributos? Devem! Relacionamentos podem ter atributos? Podem! Não é obrigação. quando falamos do modelo relacional. 34ª Questão) (FCC – TRT/6ª Região – Analista Judiciário – Tecnologia da Informação . b) uma chave é um conjunto de atributos cujos valores identificam um relacionamento de maneira única. no nível conceitual.

o SGBD deverá ser capaz de reverter o que parcialmente foi modificado (realizar o rollback). mas transações complexas em um banco. significam. Nesse caso. As propriedades (I) e (II) das transações em SGBDs. Prof. c) isolação e atomicidade. respectivamente. Isolada: o resultado de uma transação executada concorrentemente a outra deve ser o mesmo que o de sua execução de forma isolada.com. ou não conseguirem terminar por entrar em conflito com outra que ocorra ao mesmo tempo. d) durabilidade e atomicidade. Operações exteriores a uma dada transação jamais verão esta transação em estados intermediários. Parece óbvio. Victor Dalton www. sendo que seu conceito indica que a) todas as regras de consistência previamente programadas no banco de dados serão automaticamente excluídas.br 91 de 147 WWW. A letra D nesse acrônimo significa Durabilidade. alternativa d). os dados modificados devem estar disponíveis em definitivo. então seus efeitos são persistentes.ORG . Ou todas as ações da transação acontecem.estrategiaconcursos. Portanto. Durável: os efeitos de uma transação em caso de sucesso (commit) devem persistir no banco de dados mesmo em presença de falhas. b) persistência e automação. ou nenhuma delas acontece.CONCURSEIROSUNIDOS. II. toda transação em um banco de dados deverá ser: Atômica: ou a transação é feita ou não é feita. envolvendo várias tabelas. e) consistência e persistência. Se uma transação é concluída com sucesso (operação commit bem sucedida). podem sofrem interrupções inesperadas. Consistente: os dados deverão permanecer íntegros e obedientes às regras do banco de dados (metadados). Idealmente. 36ª Questão) (FCC – MPE/MA – Analista Ministerial – Banco de Dados – 2013) O conceito de transações em um banco de dados relacional envolve algumas propriedades conhecidas e agrupadas sob o acrônimo ACID. a) durabilidade e consistência.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 35ª Questão) (FCC – TJ/RJ – Analista Judiciário – Analista de Suporte – 2012) Considere: I.

e) Atomicidade.ORG . A Express conta com equipes especializadas. independência de dados. isolamento. Dessa forma. abrangendo pequenas.estrategiaconcursos. c) Atomicidade.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 b) cada transação é independente das demais. consistência. alternativa a). consistência. durabilidade. portanto. não gerando influência nas demais transações eventualmente existentes. consistência. robustez. durabilidade.CONCURSEIROSUNIDOS. uma qualidade bastante apurada. consistência. os produtos desenvolvidos pela Express possuem.br 92 de 147 WWW. isolamento. isolamento. Essas equipes estão em constante aperfeiçoamento. Dessa forma. médias e grandes empresas. Victor Dalton www. A Express atende clientes de diversos perfis. d) Atomicidade. normalmente. Alternativa d). eventuais alterações em valores das tabelas do banco de dados devem persistir. e) é necessário utilizar um sistema gerenciador de banco de dados capaz de implementar mecanismos de controle de concorrência. considere o texto a seguir: A empresa Express conta com diversas equipes de desenvolvimento. apta a atender desde um simples produto até um grande sistema de software. mesmo que ocorram falhas no sistema de banco de dados. replicação. d) ao término de uma transação. 37ª Questão) (UEL – SEAP – Analista de Sistemas – 2009) Os sistemas gerenciadores de bancos de dados devem garantir que as transações por eles suportadas possuam o conjunto das seguintes propriedades: a) Atomicidade. médio e grande porte. 38ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – 2013) Para responder às próximas questões. b) Atomicidade. incluindo técnicas estruturadas e de orientação a objetos. consistência. o que pode ser verificado pelas diversas técnicas existentes. durabilidade. incluindo-se aí a área de bancos de dados. Prof. compreendendo sistemas de pequeno. estando.com. visando mantê-las sempre atualizadas com as técnicas mais recentes da engenharia de software. os sistemas de computação solicitados também atendem a esse perfil. de grande experiência nas áreas acima destacadas. Resposta certa. c) os tipos de dados definidos não dependem do sistema gerenciador de banco de dados utilizado. independência de dados. nas áreas de software em geral.

a Express faz uso da modelagem relacional. da chave primária do conjunto de entidades ao qual são vinculados. e) não forem admitidos valores nulos. c) não houver caractere especial nos valores dos atributos. No projeto de seus bancos de dados. Alternativa a). obrigatoriamente. uma outra relação. sobre os quais é correto afirmar que a) podem ser decompostos em outros atributos simples ou ainda compostos. a Express tem preocupação de produzir modelos mais adequados. não apenas para entrega aos clientes. b) são sempre formados por um atributo do tipo numérico e um do tipo literal. na qual é necessário definir os domínios dos atributos de uma relação. Um domínio é considerado atômico se. tais como $ e @. A chave primária de uma relação de um banco de dados relacional a) só pode servir como chave estrangeira de.CONCURSEIROSUNIDOS. d) não admitem valores nulos em sua composição. na aplicação em questão.com. mas também para possibilitar a manutenção adequada dos produtos desenvolvidos. 39ª Questão) (FCC – DPE/SP – Agente de Defensoria Pública – Analista de Sistemas . quando da implementação do banco de dados. Prof. a) o comprimento máximo de seus valores tiver até 255 caracteres. podem ser utilizados atributos compostos.ORG . b) não pode ser indexada. Victor Dalton www. b) seus elementos forem considerados como indivisíveis. e) fazem parte.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 Uma das normas da Express é a de produzir documentação de excelente qualidade.2013) Quando da modelagem de dados de um banco de dados relacional. no máximo. d) forem admitidos apenas letras e espaços como caracteres válidos. 40ª Questão) (FCC – SEFAZ/SP – Agente Fiscal de Rendas – 2013) No projeto de bancos de dados relacionais. c) não podem conter atributos do tipo booleano em sua formação.estrategiaconcursos. Atributos atômicos são aqueles que não podem ser divididos! Alternativa b). cuja finalidade é.br 93 de 147 WWW.

CONCURSEIROSUNIDOS. por sua vez.com. no mapeamento do relacionamento ExpostoEm e seus atributos. e) não pode conter mais do que um atributo. c) os atributos Unidade e Quantidade podem ser adicionados à relação correspondente à entidade Loja. a) pode ser criada uma relação ExpostoEm. Prof.br 94 de 147 WWW. Victor Dalton www. A chave estrangeira é um único atributo. O atributo CodLote deve ser chave estrangeira nas relações correspondentes às entidades Produto e Loja. que estabelece um relacionamento com uma chave primária em outra tabela. O atributo CodLoja deve ser chave estrangeira nas relações correspondentes às entidades Produto e Lote. 41ª Questão) (FCC – Prefeitura de SP – Auditor Fiscal Tributário Municipal I – Tecnologia da Informação .Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 c) não pode conter atributos do tipo Data. A chave primária.2012) Considere o seguinte projeto conceitual de um banco de dados: Para se construir o projeto lógico deste banco de dados. contendo como chaves estrangeiras as chaves primárias das relações correspondentes às entidades Produto. Loja e Lote e como atributos Unidade e Quantidade.ORG . Alternativa d). embora você possa ter várias chaves estrangeiras em uma mesma tabela.estrategiaconcursos. d) pode ser formada por mais de um atributo. b) os atributos Unidade e Quantidade podem ser adicionados à relação correspondente à entidade Lote. é um atributo ou conjunto de atributos que identifica um registro de maneira única em uma tabela.

Nome).. essa é questão típica para quem é de Tecnologia da Informação. Victor Dalton www.estrategiaconcursos. que você facilmente entenderá: Produto (CodProduto. Unidade e Quantidade. contendo como atributos CodExposicao. nitidamente relação é tabela! Vou colocar o diagrama novamente: Antes de mais nada.CONCURSEIROSUNIDOS. Perceba também algo que eu lhe falei antes: nesta questão. No projeto lógico já começa a ser definido como as tabelas ficam na base de dados. e) pode ser criada uma relação ExpostoEm. você já sabe. Inevitavelmente. pro projetista sentar com o cliente e conversar. O atributo CodExposicao é a chave primária desta relação e deve aparecer como chave estrangeira na relação correspondente à entidade Lote. Agora. Prof.com. Loja e Lote. comecemos pelas entidades. Unidade e Quantidade. Ele resulta em diagramas como o acima: algo bem alto nível. as entidades virarão tabelas no banco de dados. O projeto conceitual. um erro da banca: perceba que CodLote deveria estar em uma elipse. Mas isso não nos impede de prosseguir. contendo como atributos CodExposicao. Questão desafio! Mais para você enxergar os conceitos todos se relacionando. O atributo CodExposicao é a chave primária desta relação e deve aparecer como chave estrangeira nas relações correspondentes às entidades Produto.ORG .. vem antes do projeto lógico. Vou escrevê-las em notação relacional.Concurseiros Unidos MaiorTecnologia RATEIOdada Internet Informação para ICMS/SP 2016 Agente Fiscal de Rendas Gestão Tributária Prof Victor Dalton Aula 04 d) pode ser criada uma relação ExpostoEm. para saber se é isso que ele realmente quer.br 95 de 147 WWW.

tudo bem? Prof. sua visão d