SóProvas

Prova CESPE - 2013 - STF - Analista Judiciário - Suporte em Tecnologia da Informação

ID
1055518
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Governança de TI
Assuntos

Com relação à ISO 38500 e ao COBIT 5, julgue os itens seguintes.

O COBIT 5 possui cinco domínios, sendo um deles o domínio Avaliar, Direcionar e Monitorar (EDM – Evaluate, Direct and Monitor), afeto diretamente à governança e relacionado a ISO 38500.

Alternativas
Comentários

  • A primeira mudança visível do COBIT 5 ocorre nos domínios e processos. Na versão 4.1 nós possuíamos 4 domínios e 34 processos. Na versão 5 vamos ter 5 domínios e 37 processos.

    Agora temos os processos de Governança onde temos um domínio Evaluate, Direct and Monitor – EDM (Avaliar, dirigir e acompanhar) que possui 5 processos.

    Fonte: http://fredgentil.com.br/artigos/novidades-do-cobit-5


  • correto- a esfera de governança contém o domínio evaluate, direct and monitor. Os outro 4 domínios estao na área de gerenciamento (management):


    http://www.qualified-audit-partners.be/index.php?cont=463

  • Apesar de a palavra "Direcionar" possuir significado similar ao de "Dirigir", o domínio "(EDM – Evaluate, Direct and Monitor)" geralmente é traduzido para "Avaliar, Dirigir e Monitorar", e não "Direcionar".

    Após tal percepção, surge a dúvida se é uma "pegadinha" ou não, ou seja, o candidato SABE o conteúdo e não sabe o que responder em virtude deste tipo de malícia.

  • "ISO/IEC 38500 AVALIAR, DIRIGIR E MONITORAR A ISO/IEC 38500
    Como a orientação da ISACA viabiliza a boa prática:
    O domínio de governança no modelo de processo do COBIT 5 possui cinco processos e cada um destes processos possui
    práticas de avaliação, direção e monitoramento (EDM) definidas. Este é o principal local no COBIT 5 onde atividades de
    governança são definidas."

    Fonte: COBIT 5.0 pág. 64

    PROCESSOS DE GOVERNANÇA E GESTÃO
    Um dos princípios que norteiam o COBIT 5 é a distinção feita entre governança e gestão. Em consonância com este
    princípio, seria esperado que todas as organizações implementassem diversos processos de governança e diversos processos
    de gestão que forneceriam a governança e gestão de TI geral da organização.
    Ao considerar os processos de governança e gestão no contexto da organização, a diferença entre os tipos de processos
    reside nos seus objetivos:
               Processos de governança — Os processos de governança tratam dos objetivos de governança das partes interessadas, para a criação de valor, e otimização dos riscos e dos recursos — e incluem práticas e atividades voltadas à avaliação das opções estratégicas, fornecendo orientação para a TI e monitorando o resultado (EDM - Evaluate, Direct, and Monitor - Avaliar, Dirigir e Monitorar, - em consonância com os conceitos do padrão ISO/IEC 38500).
                 Processos de gestão — Em consonância com as definições de gestão, práticas e atividades dos processos de gestão cobrem as áreas de responsabilidade de PBRM (Plan, Build, Run, and Monitor) de TI da organização e devem fornecer cobertura
    de TI de ponta a ponta.

    Fonte: COBIT 5.0 pág. 75

  • A troca do termo mais usual "Dirigir" por "Direcionar" decorre do fato desta questão ter sido elaborada em 2013, ano de lançamento do Cobit 5 e quando ainda não havia sido lançada a versão oficial em português. Neste caso a banca fez uma tradução própria, porém usando um termo semelhante ao oficializado posteriormente.

  • Rafael Srv,

    Apesar da consideração feita com muita propriedade pelo colega Filipe RF, na dúvida, considere que as bancas podem trabalhar com ambos os termos como sinônimos.

    Abraço e bons estudos

    Maurício

  • Processos de Governança
    Contém 1 domínio -> Avaliar, Dirigir e Monitorar (Evaluate, Direct and Monitor - EDM)

    Processos de Gestão
    Contém 4 domínios -> de acordo com as áreas de responsabilidade de planejar, criar,
    executar e monitorar (PBRM)

  • As vezes temos que largar de pensar apenas como TI e devemos pensar como gestão. Não tem que saber "processo código número tal é avaliar"... Não é decoreba. É entender o sentido das coisas.

ID
1055521
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Governança de TI
Assuntos

Com relação à ISO 38500 e ao COBIT 5, julgue os itens seguintes.

A ISO 38500 visa promover o uso eficaz, eficiente e aceitável da tecnologia da informação (TI) e possui, como princípios da boa governança corporativa de TI, a responsabilidade, a estratégia e a aquisição.

Alternativas
Comentários

  • Dentre outras normas que o COBIT 5 se relaciona, a de Governança é uma delas ISO 38500. Esta forma possui 6 princípios

    - Responsabilidade

    - Estratégia

    - Aquisição

    - Desempenho

    - Conformidade

    - Comportamento Humano

    http://www.baguete.com.br/colunistas/colunas/112/julio-cesar-hilzendeger/01/07/2009/governanca-de-ti-governanca-de-ti-e-a-isoi

  • Seguem informações sobre a ISO 38.500, com a qual o COBIT 5 explicitamente realça compatibilidade:

    "A norma ISO/IEC 38500:2008 esta fundamentada em 6 princípios aplicáveis a qualquer porte de organização, oferecendo as diretrizes básicas a serem seguidas para a implementação e manutenção de uma eficaz governança de TI. 

    Normalmente um processo de implementação de uma norma implica em um objetivo planejamento, no qual é estabelecido os objetivos do projeto de implementação e manutenção da governança de TI, suas diretrizes de gestão e os comprometimentos exigidos para o sucesso desta medida. Tal qual as demais normas, esta também requer recursos humanos, financeiros e materiais e em especial tempo. 

    A norma identifica a Governança de TI como uma mudança organizacional que será sentida em toda organização e que somente através das mudanças de comportamento das pessoas será alcançada.    "
    Fonte: http://www.baguete.com.br/colunistas/colunas/112/julio-cesar-hilzendeger/01/07/2009/governanca-de-ti-governanca-de-ti-e-a-isoi
    Bons estudos

  • correto - elaborada por em conjunto com IEC (internation electrotechnical commission) é um padrão usado nos níveis organizacionais mais altos para cumprir obrigações legais no uso de TI. Os princípios são Responsibility, Strategy, Acquisition, Performance, Conformance, Human behaviour. 3 ja estao listados na questao.

    http://en.wikipedia.org/wiki/ISO/IEC_38500

  • O padrão ISO/IEC 38500:2008 – Governança corporativa da tecnologia da informação – baseia-se em seis princípios básicos.

    Princípios do ISO/IEC 38500:

    1º PRINCÍPIO - RESPONSABILIDADE

    2º PRINCÍPIO - ESTRATÉGIA

    3º PRINCÍPIO - AQUISIÇÃO

    4º PRINCÍPIO - DESEMPENHO

    5º PRINCÍPIO - CONFORMIDADE

    6º PRINCÍPIO - COMPORTAMENTO HUMANO

    Para mais informações de como o COBIT 5 apoia a adoção dos princípios e abordagem de implementação do padrão ISO/IEC 38500:2008 – Governança corporativa da tecnologia da informação ver APÊNDICE E do COBIT 5

    Fonte: COBIT 5 (pág 61 a 64)

  • Colegas,

    Somente para fins informativos. A 38500:2008 foi substituída pela 38500:2015.

    Abs,
    RochaBastos

  • Já postaram aqui. Vou postar novamente só para saberem outro livro que vocês podem usar para estudar a norma.


    Segundo Aragon(2012,p.204-205),"A norma ISO/IEC 38500 preconiza seis princípios que caracterizam uma boa governança de TI:

    Princípio 1- Responsabilidade;

    Princípio 2-Estratégia;

    Princípio 3-Aquisição;

    Princípio 4-Desempenho;

    Princípio 5-Conformidade;

    Princípio 6-Comportamento Humano."

    IMPLANTANDO A GOVERNANÇA DE TI-ARAGON-3 EDIÇÃO 2012.


ID
1055524
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Governança de TI
Assuntos

Com relação à ISO 38500 e ao COBIT 5, julgue os itens seguintes.

O COBIT possui como princípio e enfoque exclusivo as funções inerentes a TI. Na versão 5, o COBIT integra, em um framework único, o BSC, o VAL IT e o COSO, devido ao fato de o cenário atual recomendar que a TI seja parte estratégica das organizações e de reconhecer a importância do alinhamento entre a TI e o negócio.

Alternativas
Comentários

  • parei de ler na primeira fase. enfoque exclusivo é errado para o cobit.

  • Dentro de um dos 5 princípios do COBIT v5, Cobrindo toda a organização, cita que o COBIT:

     * Integra a governança corporativa de TI dentro da governança corporativa;

     * Cobre todas as funções e processos requeridos dentro da organização;

    *  Não foca apenas nas funções de TI, mas trata a informação e tecnologia relacionadas como ativos que precisam ser tratados como qualquer outro ativo por todos na organização.

  • Além do erro no enfoque exclusivo do COBIT nas funções de TI, há outro erro: Na versão 5, o COBIT integra, em um framework único, o BSC, o VAL IT e o COSO => ERRADO. Desde o COBIT 5 integra o VAL IT, assim como o RISK IT, porém há apenas uma integração com o COSO e o BSC é uma forma de atuação do COBIT no contexto de medição dos resultados de performance e de desempenho, ou seja o BSC não foi incorporado pelo framework COBIT 5.0.
    Bons estudos! 

  • Parei de ler em "O COBIT possui como princípio e enfoque exclusivo as funções inerentes a TI..."


    Bons estudos!

  • Parei de ler em: "enfoque exclusivo as funções inerentes a TI"...

  • Primeira parte da assertiva está ERRADA. Não existe um enfoque exclusivo para TI. Com base no princípio 2 existe uma cobertura ponta a ponto “covering the enterprise end-to-end”.

    A segunda parte da questão está correta. O COBIT 5 traz a integração de frames onde BSC, COSO estão presentes. Como também, o COBIT 5 traz para dentro de si o COBIT 4.1, o VAL IT e o RISK IT.

    Ref: comentários do professor Souza Neto (Gov TI APF).

  • "Cobrir a organização de ponta a ponta"

  • Outro erro: O COBIT não integra com ITIL, ele se ALINHA.

ID
1055527
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Governança de TI
Assuntos

A respeito da ITIL V3, julgue os itens subsecutivos.

O desenho do serviço é influenciado por alterações nas necessidades de negócio e melhorias de serviços. O ITIL preconiza que deve ser adotada uma abordagem estruturada e holística para o desenho dos serviços, com vistas a garantir a consistência e a integração com o negócio.

Alternativas
Comentários

  • O Ciclo de Desenho, desenha os serviços de Ti apropriados ou inovadores incluindo suas arquiteturas, processos , políticas e documentação para atender os requerimentos atuais e futuros do negócio.

  • Está correta a questão. Alterações nas necessidades de negócio e melhorias de serviços são requisitos (novos requisitos) provenientes da Estratégia de Serviço que continuamente influencia o Desenho de Serviço.

ID
1055530
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Governança de TI
Assuntos

A respeito da ITIL V3, julgue os itens subsecutivos.

O service design package (SDP) é encaminhado pela estratégia para o estágio de desenho que, a seguir, o envia para a transição. A partir dele, são realizadas as atividades de transição de serviços de construção, testes, operação e posterior suporte do serviço.

Alternativas
Comentários

  • Service Strategy : Os requisitos de negócio são identificados e os resultados esperados são acordados em um SLP (Service Level Package)

  • service design package, ou pacote de desenho de serviço, é uma das principais saídas do processo de service design e não do service strategy. 

    PS:. Olha a CESPE misturando termos em inglês com outros em português aí para confundir o candidato hehehe

  • Estratégia: identifica requisitos e necessidades de negócio, que são acordados e documentados em um SLP (service level package).

    Desenho: a partir do requisito concebe a solução, em todos os seus aspectos, que são documentados em um SDP (service design package). O SDP é um documento de especificações e características dos serviços.

  • ERRADO

    Segundo TIEXAMES, "O pacote de desenho de serviço (PDS) deve ser produzido durante o estágio de Desenho para cada novo serviço , grande mudança ou remoção  de serviço. Esse pacote é passado do Desenho de serviço  para a Transição de serviço e detalha todos os aspectos e seus requisitos para os estágios seguintes no ciclo de vida."

    Bibliografia:

    APOSTILA ITIL V3 TIEXAMES


  • ERRADA.

    O service design package (SDP) é encaminhado pelo estágio de desenho para o estágio de transição.

    Assim, a afirmação estaria correta.

ID
1055533
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Governança de TI
Assuntos

A respeito da ITIL V3, julgue os itens subsecutivos.

O sistema de gerenciamento de conhecimento de serviço, que inclui o sistema de gerenciamento de configuração, consiste em um conjunto de ferramentas e bancos de dados usados para gerenciar conhecimento, informações e dados. Sua arquitetura é disposta em quatro camadas, de modo que o portfólio de serviços encontra-se na camada de dados.

Alternativas
Comentários

  • A gestão de configuração está dentro do gestão de conhecimento?

    É isso que ele quis dizer?

  • Só consegui achar informações para comprovar o primeiro período da questão. Apesar da questão se basear na ITIL V3, vou citar a ITIL 2011.

    Segundo a ITIL 2011,p.22"Sistema de gerenciamento de conhecimento de serviço(SGCS): Um conjunto de ferramentas e bancos de dados que são usados para gerenciar conhecimento,informações e dados. O sistema de gerenciamento de conhecimento de serviço inclui o sistema de gerenciamento de configuração,além de outros bancos de dados e sistemas de informação."

    Bibliografia:

    GUIA DE REFERÊNCIA ITIL -EDIÇÃO 2011-JAN VAN BON-VERSÃO TRADUZIDA-EDITORA CAMPUS


  • Favor explique essa questão? 

  • O SGC consiste de quatro camadas:

    Camada de apresentação: as informações são formatadas em relatórios para determinados públicos;

    Camada de processamento de conhecimento: e onde se produzem as querys para extrair os dados para serem exibidos em relatórios;

    Camada de integração de informação: que coleta e estrutura os dados;

    Camada de dados: contêm dados e informações de diferentes origens, como BDGCs, ferramentas de inventário, informações de projetos.

    APOSTILA TIEXAMES.

  • Complementando, a camada de dados coleta as informações de diferentes origens, tais como: BDGC, ferramentas de inventário, informações do projeto, portfólio de serviços. Ou seja, questão muito mal formulada, porque deu a entender que o portfólio de serviços estaria inserido dentro da camada de dados

  • SGCS - Sistema de Gerenciamento de Conhecimento de Serviço. Parte da Transição de Serviço que consiste em um conjunto de ferramentas e banco de dados usados para gerenciar conhecimento, informações e dados. Inclui o sistema de gerenciamento da configuração.


    http://www.pmgeducation.com.br/glossario-da-itil/Glossário-da-ITIL-1/S/Sistema-de-gerenciamento-de-conhecimento-de-serviço-(SGCS)--459/

  • O SKMS (Sistema de Gestão de Conhecimento dos Serviços) é o produto do prc Gestão do Conhecimento (Serv Transition), envolve todo o conhecimento da organização necessário à entrega e suporte de serviços. Faz parte dele o Sistema de Gerenciamento de Configuração. Este, o SGC é um conjunto de banco de dados e sua arquitetura é dividida em 4 camadas:
    1 - Dados e informações (ativos) físicos, TI, processo e políticas
    2 - Sistema integrado de BD
    3 - Processamento das informações
    4 - Apresentação

  • "Sua arquitetura é disposta em quatro camadas, de modo que o portfólio de serviços encontra-se na camada de dados."


    Isto está certo mesmo? Não seriam apenas informações coletadas do portfólio de serviços?

  • sistema de gerenciamento de conhecimento de serviço (SGCS)

    (Transição de Serviço da ITIL) Um conjunto de ferramentas e bancos de dados que são usados para gerenciar conhecimento, informações e dados. O sistema de gerenciamento de conhecimento de serviço inclui o sistema de gerenciamento de configuração, além de outros bancos de dados e sistemas de informação. O sistema de gerenciamento de conhecimento de serviço inclui ferramentas para coletar, armazenar, gerenciar, atualizar, analisar e apresentar todos os conhecimentos, informações e dados que um provedor de serviço de TI precisa para gerenciar o ciclo de vida completo dos serviços de TI [1].

     

    Sistema de Gerenciamento de Configuração SGC : armazena todas as configurações dos Ics dentro de um escopo determinado. É necessário um sistema de suporte. Consiste em 4 camadas:

    Apresentação : Informações formatadas em relatórios para determinados publicos.

    Processamento de conhecimento : onde se produzem querys(consultas) para extrair dados para serem exibidos em relatórios

    Integração de informação : coleta de estrutura de dados

    Dados : contém dados e informações de diferentes origens, como DBGCs, ferramentas de inventários, informações de projetos. [2]

     

    Para quem quiser conhecer em maiores detalhes as 4 camadas acima explicitadas sugiro a seguinte leitura (pág. 292) 

    https://books.google.com.br/books?id=7GxeAgAAQBAJ&pg=PA292&lpg=PA292&dq=service+knowledge+management+system+itil+v3+4+layers&source=bl&ots=vtSWnLu5nF&sig=_Yph7h71Kjk89dho9_v_t9Oiouc&hl=pt-BR&sa=X&ved=0ahUKEwisysmZ9N_MAhWCEJAKHeXYA38Q6AEIRTAC#v=onepage&q&f=true

     

     

    Fonte:

    [1] Glossário da ITIL, disponível em http://www.pmgacademy.com/pt/glossario-itil

    [2] http://www.pedrofcarvalho.com.br/PDF/ITIL_TRANSICAO_SERVICOS.pdf

ID
1055536
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Governança de TI
Assuntos

Julgue os itens que se seguem a respeito da IN n.º 4 MPOG/SLTI e do guia de boas práticas em contratação de TI TCU.

Estudos técnicos preliminares, plano de trabalho, no caso da contratação de serviços, e o termo de referência ou projeto básico são requisitos mínimos exigidos no processo de planejamento da contratação de soluções em TI.

Alternativas
Comentários

  • Alguém sabe dizer onde foi que o Cespe arrumou este plano d trabalho?

  • Segunda a IN04

    Art. 9 A fase de Planejamento da Contratação consiste nas seguintes etapas:

    I - Instituição da Equipe de Planejamento da Contratação; 

    II - Estudo Técnico Preliminar da Contratação;

    III - Análise de Riscos; e

    IV - Termo de Referência ou Projeto Básico.


    Segundo O guia de boas práticas do TCU:

    Planejamento de cada contratação, que envolve a produção dos seguintes artefatos básicos:

    • estudos técnicos preliminares;

    • plano de trabalho, no caso das contratações de ser-

    viços de TI;

    • termo de referência ou projeto básico.


    FONTE:

    http://portal2.tcu.gov.br/portal/pls/portal/docs/2511467.PDF

    http://www.governoeletronico.gov.br/sisp-conteudo/nucleo-de-contratacoes-de-ti/modelo-de-contratacoes-normativos-e-documentos-de-referencia/instrucao-normativa-mp-slti-no04

  • marquei errado por causa desse plano de trabalho

  • Complicado , a questão se basear no Guia de Boas Práticas do TCU.

  • Esse tal Plano de Trabalho não está previsto na IN

    Art. 9º A fase de Planejamento da Contratação consiste nas seguintes etapas:

    I - instituição da Equipe de Planejamento da Contratação;

    II - elaboração do Estudo Técnico Preliminar da Contratação; e

    III - elaboração do Termo de Referência ou Projeto Básico.

    Quanto à questão se basear no Guia de Boas Práticas do TCU...perceba q o TCU emite acórdãos para cumprimento por todos os órgãos sob sua fiscalização(que recebem recursos da União)...plenamente válidos! Não há o q se questionar aqui.

  • RESOLUÇÃO:

    No art. 9º. A fase de Planejamento da Contratação consiste nas seguintes etapas: I - Instituição da Equipe de Planejamento da Contratação; II - Estudo Técnico Preliminar da Contratação; III - Análise de Riscos; e IV - Termo de Referência ou Projeto Básico.

    Resposta: Certo

ID
1055539
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Governança de TI
Assuntos

Julgue os itens que se seguem a respeito da IN n.º 4 MPOG/SLTI e do guia de boas práticas em contratação de TI TCU.

É possível que uma determinada organização realize planejamento da contratação de serviços de TI contendo aferição de esforço por meio da métrica homens-hora, de acordo com o prescrito na IN n.º 4 MPOG/SLTI.

Alternativas
Comentários

  • "aferição de esforço por meio da métrica homens-hora, de acordo com o prescrito na IN n.º 4 MPOG/SLTI" é a exceção à regra geral recomendada na IN4, mas pode sim ser feita...


    Artigo Décimo Quinto Parágrafo Segundo:

    A aferição de esforço por meio da métrica homens-hora apenas PODERÁ ser utilizada mediante justificativa e sempre vinculada à  entrega de produtos de acordo com prazos e qualidade previamente definidos.


  • Conforme a IN4 de 2014, 

    Art. 7º É vedado:

    VIII - adotar a métrica homem-hora ou equivalente para aferição de esforço, salvo mediante justificativa e sempre vinculada à entrega de produtos de acordo com prazos e qualidade previamente definidos;


  • Lembrando de a IN04 tem excecoes e em sua totalidade sao medidante justificativas.

  • Art 7. É vedado

              VII: adotar métrica homem-hora ou equivalente para aferição de esforço, SALVO MEDIANTE JUSTIFICATIVA E SEMPRE VINCULADA À ENTREGA DE PRODUTOS DE ACORDO COM PRAZOS E QUALIDADE PREVIAMENTE DEFINIDOS

ID
1055542
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Engenharia de Software
Assuntos

Acerca de DevOps e da gestão ágil de projetos com Scrum, julgue os itens subsequentes.

Teste contínuo é uma prática do DevOps que, além de permitir a diminuição dos custos finais do teste, ajuda as equipes de desenvolvimento a balancear qualidade e velocidade.

Alternativas
Comentários

  • Teste contínuo - utilizando Maven para geração das buil's podemos configurar várias rotinas de testes unitários do JUnit, assim como testes de integração e funcionais com o uso de WebDriver (Selenium). O desenvolvedor não precisa ficar testando manualmente, automatiza todos os testes, dessa forma qualquer commit em um ambiente de integração irá executar uma bateria de testes, aumentando a qualidade dos incrementos e maior velocidade para entregar um "pronto". 

  • Testes,, as entregas contínuas permitem no DevOps reduzir os custos e tempo para galera do desenvolvimento.

ID
1055545
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Engenharia de Software
Assuntos

Acerca de DevOps e da gestão ágil de projetos com Scrum, julgue os itens subsequentes.

Uma nova sprint inicia imediatamente após a conclusão da sprint anterior. Uma sprint pode ser cancelada antes do seu time-box terminar, porém, a autoridade para cancelar é exclusiva do product owner.

Alternativas
Comentários

  • Questão "Correta". Essa definição consta no Guia:

    "O coração do Scrum é a Sprint, um time-box de um mês ou menos, durante o qual um “Pronto”, versão incremental potencialmente utilizável do produto, é criado. Sprints tem durações coerentes em todo o esforço de desenvolvimento. Uma nova Sprint inicia imediatamente após a conclusão da Sprint anterior

    Uma Sprint pode ser cancelada antes do time-box da Sprint terminar. Somente o Product Owner tem a autoridade para cancelar a Sprint, embora ele (ou ela) possa fazer isso sob influência das partes interessadas, da Equipe de Desenvolvimento ou do Scrum Master. 

    A Sprint poderá ser cancelada se o objetivo da Sprint se tornar obsoleto. Isto pode ocorrer se a organização mudar sua direção ou se as condições do mercado ou das tecnologias mudarem. Geralmente a Sprint deve ser cancelada se ela não faz mais sentido às dadas circunstâncias. No entanto, devido a curta duração da Sprint, raramente cancelamentos fazem sentido. 

    O cancelamentos de Sprints consome recursos, já que todos tem que se reagrupar em outra reunião de planejamento da Sprint para iniciar outra Sprint. Cancelamentos de Sprints são frequentemente traumáticos para o Time Scrum, e são muito incomuns. "

    (Fonte: Guia do Scrum, 2011, Ken Schwaber e Jeff Sutherland)

  • Achava que depois da sprint, viria a revisão, e então outra reunião para definir o sprint backlog, retirado do product backlog ainda não feito. Portanto, ficou confusa essa afirmação.

  • Todos do time Scrum (menos o P.O, claro) + os stakeholders podem pedir o cancelamento da sprint. Porém a responsabilidade é exclusiva do P.O. Somente ele tem o poder para cancelar a sprint. Isso pode ser feito a qualquer tempo dentro do time-box.

  • essa questão é foda.. pq está expresso no guia: A new Sprint starts immediately after the conclusion of the previous Sprint.

     

    mas putttz.. bulll shiitt neh!!

     

    Tem o sprint review (apresentação do incremento), sprint retrospective (avaliação do processo), sprint planning da nova Sprint

    Mas enfim..

    no guia ele fala que esses eventos estão dentro da Sprint

     

    Sprints contain and consist of the Sprint Planning, Daily, Review e Retrospective

     

     

ID
1055548
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nas normas da família ISO 27000, julgue os próximos itens.

Disponibilidade da informação, integridade, autenticidade e confiabilidade são algumas das propriedades obrigatórias na definição da segurança da informação de uma organização.

Alternativas
Comentários

  • Questão errada

    Não é confiabilidade. É confidencialidade.

  • A segurança não pode garantir a disponibilidade da informação.

  • A segurança da informação deve conter pelo menos os 04 princípios: CIDA

    Confidencialidade,

    Integridade

    Disponibilidade

    Autenticidade

  • A Segurança da Informação deve garantir seis serviços:
    - Confidencialidade          - Integridade              - Disponibilidade             - Autenticação                  - Irretratabilidade       - Controle de Acesso  
     Obs: A CRIPTOGRAFIA não pode garantir a disponibilidade! 


    Portanto, questão incorreta, pois a S.I não garante a Confiabilidade.

  • As propriedades básicas da SI:

    ·  Confidencialidade

    Certeza de que o foi dito, escrito ou falado, será acessado somente por pessoas autorizadas.

    ·  Integridade

    Garantia de que à informação não foi alterada do seu destino até a sua chegada.

    ·  Disponibilidade

    Garantia de que a informação será acessada quando as pessoas autorizadas precisar usar.

    Podemos, também, destacar os aspectos adicionais da SI:

    ·  Não-repúdio;

    ·  Legalidade;

    ·  Autenticação;

    ·  Autenticidade;

    ·  Autorização.

    Portanto, a questão é análise está ERRADA.


  • ERRADO.

    Segundo a ISO 27002, 2 Termos e Definições, "

    2.5

    segurança da informação: preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas."

    • Perda de Confidencialidade: seria quando há uma quebra de sigilo de uma determinada informação (ex: a senha de um usuário ou administrador de sistema) permitindo que sejam expostas informações restritas as quais seriam acessíveis apenas por um determinado grupo de usuários.

    • Perda de Integridade: aconteceria quando uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação.

    • Perda de Disponibilidade: acontece quando a informação deixa de estar acessível por quem necessita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa, que aconteceu com a queda de um servidor ou de uma aplicação crítica de negócio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ação não autorizada de pessoas com ou sem má intenção.

      http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o

  • Quem formulou esta questão trocando confidencialidade por confiabilidade deve estar até agora rindo de quem fez a prova ¬¬

  • A confiabilidade vem da integridade, logo a questão esta errada pela palavra "OBRIGATÓRIAS", pois ninguém é obrigado a nada, já que quem estabelece estes princípios é a norma ISO 27000 e não uma lei brasileira.

    flw, vlw, tchau.

  • A confiabilidade vem da integridade. O erro da questão está no "obrigatório".

  • Confiabilidade e conformidade vem da integridade

    A propriedade correta é confidencialidade

  • Galera se equivocando: Confiabilidade faz parte da Integridade, logo não é o erro (ainda mais pq a questão não falou que são as únicas) O erro está quando se diz são propriedades obrigatórias na definição de segurança da informação. A organização se quiser ter um sistema "meia boca" ela pode ter.

  • ALAN GARNER, Enxerguei da mesma forma.

  • Para a galera que esta em duvida sobre estas questões que ficam mal formuladas.

    confidencialidade está interligada à confiabilidade e preserva, de forma confidencial, todas as informações da organização e de seus clientes. Utilizando desses dados para ações específicas e de extrema necessidade.

    essa questão dentre outras deveriam ser corrigida ou ter um comentário de um professor que saiba explicar o motivo da banca ou de quem esta reformulando as questões na plataforma.

ID
1055551
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nas normas da família ISO 27000, julgue os próximos itens.

Incidente de segurança da informação é um evento simples ou uma série de eventos indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

Alternativas
Comentários

  • Senhores por incrível que pareça esta questão foi dada como errada (E) na prova do cespe (Creio que ninguém entrou concurso- trata-se da questão 61 da prova. {}). Mas a resposta é certa msm. Vejam.

    Segundo a ISO 27001,Termos e Definições, 3.6, "

    Incidente de segurança da informação: um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação."

    Segundo a ISO 27002,Termos e Definições, 2.7, "

    Um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação."

  • Um incidente de segurança da informação pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança da informação, levando a perda de um ou mais princípios básicos da Segurança da Informação: CID.


ID
1055554
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca das políticas de segurança da informação, julgue os itens a seguir.

Sempre que ocorrerem mudanças significativas na organização, a política de segurança da informação deverá sofrer uma análise criteriosa e, se necessário, uma revisão.

Alternativas
Comentários
  • A.5 Política de segurança
    A.5.1 Política de segurança da informação
    A.5.1.2:  Análise crítica da política de segurança da informação (Objetivo de Controle)

    A política de segurança da informação deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia. (controle)

    Fonte: ISO-iEC 27001 pag.22.

  • A questão não teve recursos??? Se tivesse feito STF, já mandava essa fácil! A questão, ou é errada ou deveria ter sido anulada por ser contraditória. Vejamos:

    "deverá sofrer uma análise criteriosa e, se necessário, uma revisão." Pode isso, Arnaldo??? Concordo plenamente que que a política de segurança da informação deve ser revista periodicamente, como bem colocou a colega em um dos comentários, e ainda mais com um mudança estrutural grande na organização. O ponto é que se houve uma análise criteriosa, houve uma revisão, ora bolas! Vejamos o que diz nosso "pai dos burros" (dicionário): Revisão: "s.f. Ato ou efeito de rever ou revisar; nova leitura, novo exame: revisão de provas." Assim, para que a questão estivesse correta, a mesma teria que ter sido escrita: "...a política de segurança da informação deverá sofrer uma análise criteriosa e, se necessário, uma modificação/alteração/reestruturação." Posso, segundo o significado de revisar, somente olhar e nada manter. E isso (rever) deve ser feito obrigatoriamente, e não apenas se necessário. Questão errada!

    Alguém pode me elucidar, caso estava viajando???

    Bons estudos!

  • Uma política de segurança é a expressão formal das regras pelas quais é fornecido o acesso aos recursos tecnológicos da organização. Um política de segurança não é um documento DEFINITIVO, INALTERÁVEL ou INQUESTIONÁVEL, pelo contrário, requer constante atualização e participação de gerentes, usuários e equipe de TI. Portanto, a questão em análise está CORRETA.


  • Assertiva CORRETA. 


    Complementando: isso serve para prevenir que a política de segurança da informação se torne obsoleta ou ineficiente perante o novo modelo de organização. 

  • Sergio, a Janine fez um excelente comentario em 07 de Fevereiro de 2014 às 17:07, ou seja, antes do seu. Por que vc naõ le os comentarios ou pesquisa em boas fontes antes de sair dando chilique?!!! Ta atrapalhando quem ta estudando serio! E' cada uma q vou te contar....!!!

ID
1055557
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca das políticas de segurança da informação, julgue os itens a seguir.

O objetivo de uma política de segurança da informação é fornecer à alta administração um conjunto rígido de metodologias e procedimentos para a segurança da informação, de acordo com as regulamentações existentes na organização.

Alternativas
Comentários
  • A questão está errada. "O objetivo de uma política de segurança da informação é fornecer à alta administração um conjunto NÃO-rígido de metodologias e procedimentos para a segurança da informação, de acordo com as regulamentações existentes na organização."

  • Foi alterado para: E

  • Pessoas, apenas por curiosidade, por onde vcs andam estudando? Essa questaõ tá toda eh errada. Deem uma olhada no que diz o item 5.1 da ISO 27002:2013

    "O objetivo é prover uma orientaçao e apoio da Direção para a SI de acordo com os requisitos do negocio e com as leis e regulamentações pertinentes";

    Prfvr, sempre citem fontes, pra não parecer q estaõ usando de golpe baixo!!

    A maioria da galera do QC e'gnt boa, mas sempre tem uns picaretas!!! Uma ovelha negra pra atrapalhar!!!

    Fiquei deveras preocupada(pra não dizer apavorada!!!)

ID
1055560
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca das políticas de segurança da informação, julgue os itens a seguir.

É conveniente que exista uma declaração de comprometimento da direção apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio.

Alternativas
Comentários
  • 5.1 Política de segurança da informação

    Objetivo: Prover uma orientação e apoio da direção  para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. (NBR-ISO-IEC 27002)

    5.1 Comprometimento da direção 

    A Direção deve fornecer evidência do seu comprometimento com o estabelecimento,implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI ... (NBR-ISO-IEC 27001)




  • Pois é.. a questão está dada como "CERTO" mas ao meu ver está errada. Pelo termo "É conveniente"... não é conveniente, é MANDATÓRIO e faz parte de um dos requisitos de SI.

  • Quero destacar aqui, a palavra “conveniente”. Segundo o dicionário Aurélio, a palavra conveniente significa: útil, proveitoso, interessante, vantajoso e cômodo. Não vejo uma declaração de comprometimento como nenhum desse significado, e sim, como algo que seja obrigatório. No meu ver, essa questão estaria errada.


  • Assertiva CORRETA. 


    Em contraste ao que o pessoal comentou, creio que "conveniente" seja algo proveitoso, frutífero. Uma atitude que a alta direção da empresa deve tomar, mas, como são eles que dão as ordens dentro da empresa, não tem como você forçar eles à isso. Isso tem que ser uma decisão voluntária. 

  • Como é q é? A Alta Direção se compromente em monitorar? Janine, vc ta usando qual material? Pq eu to consultando a ISO 27001:2013 e nao tá batendo com o q vc tá dizendo ai.

    Transcrevo a mesma seção, 5, e tá bem diferente, aliás.

    Portanto, muito cuidado, colega!!!

    5 Liderança

    5.1 5.1 Liderança e comprometimento

    A Alta Direção deve demostrar sua liderança e comprometimento em relação ao sistema de gestão da

    segurança da informação pelos seguintes meios:

    a) assegurando que a política de segurança da informação e os objetivos de segurança da informaçao

    estão estabelecidos e são compatíveis com a direção estratégica da organização;

    b) garantindo a integração dos requisitos do sistema de gestão da segurança da informação dentro

    dos processos da organização;

    c) assegurando que os recursos necessários para o sistema de gestão da segurança da informação

    estejam disponíveis;

    d) comunicando a importância de uma gestão eficaz da segurança da informação e da conformidade

    com os requisitos do sistema de gestão da segurança da informação;

    e) assegurando que o sistema de gestão da segurança da informação alcança seus resultados

    pretendidos;

    f) orientando e apoiando pessoas que contribuam para eficácia do sistema de gestão da segurança

    da informação;

    g) promovedo a melhoria contínua; e

    h) apoiando outros papéis relevantes da gestão para demostrar como sua liderança se aplica às áreas

    sob sua responsabilidade.

ID
1055563
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca das políticas de segurança da informação, julgue os itens a seguir.

A política de segurança da informação deve ser divulgada na organização, tomando-se os devidos cuidados de não serem reveladas informações sensíveis, especialmente para fora da organização.

Alternativas
Comentários

  • certo

    Segundo a ISO 27002, 5.1.1 Documento da política de segurança da informação, 

    "

    Convém que esta política de segurança da informação seja comunicada através de toda a organização para os usuários de forma que seja relevante, acessível e compreensível para o leitor em foco.

    Segundo a ISO 27002, 5.1.1 Documento da política de segurança da informação, 

    Informações adicionais

    Se a política de segurança da informação for distribuída fora da organização, convém que sejam tomados cuidados para não revelar informações sensíveis."

  • Uma política de segurança da informação tem o propósito de informar aos usuários suas responsabilidades com relação à proteção da tecnologia e ao acesso à informação e oferecer um ponto de referência a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e de redes.

    Lembrando também, que é recomendável que os gerentes/supervisores de cada área, estabeleçam critérios relativos ao nível de confidencialidade da informação (relatórios e/ou mídias) gerada por sua área, classificado as informações de acordo com a lista abaixo:

    -> Pública;

    -> Interna;

    -> Confidencial e

    -> Restrita.

ID
1055566
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes no que se refere ao sistema de gestão de segurança da informação (SGSI).

A declaração de aplicabilidade deve estar obrigatoriamente incluída na documentação do SGSI.

Alternativas
Comentários

  • CERTO.

    Segundo a ISO 27001, 4.3.1 Geral, 

    "A documentação do SGSI deve incluir:

    a) declarações documentadas da política (ver 4.2.1b)) e objetivos do SGSI;

    b) o escopo do SGSI (ver 4.2.1a));

    c) procedimentos e controles que apoiam o SGSI;

    d) uma descrição da metodologia de análise/avaliação de riscos (ver 4.2.1c));

    e) o relatório de análise/avaliação de riscos (ver 4.2.1c) a 4.2.1g));

    f) o plano de tratamento de riscos (ver 4.2.2b));

    g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles (ver 4.2.3c));

    h) registros requeridos por esta Norma (ver 4.3.3); e

    i) a Declaração de Aplicabilidade."

  • A declaração de aplicabilidade (SOA) é uma listagem dos controles aplicados, e dos controles não aplicados. Ou seja, é uma listagem de TODOS os controles do anexo A da ISO 27001, mais os controles adicionais.


ID
1055569
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes no que se refere ao sistema de gestão de segurança da informação (SGSI).

Em um SGSI, os riscos devem ser analisados e avaliados. Uma das opções do tratamento de riscos do SGSI é transferir os riscos para seguradoras.

Alternativas
Comentários

  • CERTO

    Segundo a ISO 27001, 4.2.1 Estabelecer o SGSI,

    "A organização deve:

    e) Analisar e avaliar os riscos. 

    [...]

    f) Identificar e avaliar as opções para o tratamento de riscos.

    Possíveis ações incluem:

    [...]

    4) transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores."

  • Dica pra riscos: MATE

    Mitigar
    Aceitar
    Transferir
    Evitar

ID
1055572
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes no que se refere ao sistema de gestão de segurança da informação (SGSI).

Auditorias internas, que devem ser conduzidas no SGSI, podem ser feitas pela própria organização ou em nome da organização.

Alternativas
Comentários

  • CERTO

    Segundo a ISO 27001,"

    4.2.3 Monitorar e analisar criticamente o SGSI

    A organização deve:

    e) Conduzir auditorias internas do SGSI a intervalos planejados (ver seção 6).

    NOTA Auditorias internas, às vezes chamadas de auditorias de primeira parte, são conduzidas por ou em nome da

    própria organização para propósitos internos."

ID
1055575
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, a respeito da gestão de riscos.

A aplicação de controles apropriados é suficiente para se diminuir o risco identificado.

Alternativas
Comentários

  • O VALOR DEFINITIVO DESTA QUESTÃO FOI ALTERADO PELO CESPE PARA "ERRADO", COM A SEGUINTE JUSTIFICATIVA NA QUESTÃO 70: "A aplicação de controles apropriados não é suficiente para se diminuir o risco identificado. Por este motivo, opta-se pela alteração de gabarito. "

    Segundo a ISO 27005,9.2 Redução do risco, 

    "Convém que controles apropriados e devidamente justificados sejam selecionados para satisfazer os requisitos identificados através da análise/avaliação de riscos e do tratamento dos mesmos."

    Segundo a ISO 27005,9.2 Redução do risco, "

    Há muitas restrições que podem afetar a seleção de controles. Restrições técnicas, tais como requisitos de desempenho, capacidade de gerenciamento (requisitos de apoio operacional) e questões de compatibilidade, podem dificultar a utilização de certos controles ou induzir erros humanos, chegando mesmo a anular o controle, a dar uma falsa sensação de segurança ou a tornar o risco ainda maior do que seria se o controle não existisse (por exemplo: exigir senhas complexas sem treinamento adequado leva os usuários a anotar as senhas por escrito). É importante lembrar também que um controle pode vir a afetar o desempenho sobremaneira."

    **Portanto, aplicação de controles por si só não é suficiente para reduzir um risco, e ao invés de reduzir o risco, os controles podem aumentar as vulnerabilidades, e consequentemente, resultar e aumentar os riscos.


  • Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de segurança a estabelecer para uma rede ou sistema os recursos físicos e lógicos a necessitar de proteção. No nível de segurança devem ser quantificados os custos associados aos ataques e os associados à implementação de mecanismos de proteção para minimizar a probabilidade de ocorrência de um ataque.


ID
1055578
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, a respeito da gestão de riscos.

De acordo com critérios predefinidos, a importância do risco é determinada na fase de análise do risco.

Alternativas
Comentários

  • Avaliação de riscos 

    Processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco.

    Análise de riscos 

    Uso sistemático de informações para identificar fontes e estimar o risco.

ID
1055581
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, a respeito da gestão de riscos.

Todos os riscos de segurança da informação identificados deverão ser tratados, visto que qualquer risco não tratado constitui uma falha de segurança.

Alternativas
Comentários
  • Existe a possibilidade de aceitação dos riscos.

    A atividade de aceitação do risco tem de assegurar  que os riscos residuais sejam explicitamente aceitos pelos gestores da organização. Isso é especialmente importante em uma situação em que a implementação de controles é omitida ou adiada, por exemplo, devido aos custos."
    "

  • Achei meio estranho isso, porque Aceitar o Risco é uma opção de Tratamento do Risco, de acordo com a ISO 27002. Logo, aceitar é também tratar um risco. Então, continuo à procura da justificativa da questão.   =)

  • Questão estranha. Opções de tratamento de acordo com a 27002:

    Aplicar controles apropriados para reduzir os riscos;

    Conhecer e objetivamente aceitar os riscos;

    Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;

    Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

    Outra frase que consta na iso 27002:

    "Para cada um dos riscos identificados com base na análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada"

  • A possibilidade de aceitação de um risco não deixa de ser um tratamento...continuo sem entender o erro da questão!

  • ISO 27005

    Anexo E (Informativo)

    Abordagens para o processo de avaliação de riscos de segurança da informação

    E.1 Processo de avaliação de riscos de segurança da informação - Enfoque de alto nível

    Uma avaliação de alto nível permite definir prioridades e uma cronologia para a execução das ações. Por várias razões, como por exemplo o orçamento, talvez não seja possível implementar todos os controles simultaneamente e, com isso, somente os riscos mais críticos podem ser tratados durante o processo de tratamento do risco. Da mesma forma, pode ser prematuro dar início a uma forma de gestão de riscos muito detalhada se a implementação só será contemplada após um ou dois anos. Para alcançar esse objetivo, uma avaliação de alto nível pode começar com um exame também de alto nível das consequências, em vez de começar por uma análise sistemática das ameaças, vulnerabilidades, ativos e consequências.

  • Nao podemos afirmar que todo risco não tratado caracteriza uma falha de segurança. Falha de segurança é o não tratamento dos riscos mensuráveis, ou seja, aqueles riscos que têm maior grau de probabilidade de se concretizar.

  • Gabarito Errado

    Alguns riscos são aceitáveis e outros são transferidos.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
1055584
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de gestão de ativos, julgue os itens a seguir.

As informações de uma organização possuem vários níveis de sensibilidade e criticidade, razão pela qual alguns itens podem necessitar de um tratamento e proteção diferenciados.

Alternativas
Comentários

  • Questão correta. Essa realidade decorre do processo de avaliação dos riscos. Abaixo vemos que o nível de criticidade da informação é critério relevante para para a determinação da importância de um determinado risco. Quanto maior a importância/impacto do risco, mais teremos que buscar tratamentos e proteções diferenciados. Referência pag. 9 da Norma ISO/IEC 27005, abaixo:

    "Critérios para a avaliação de riscos

    Convém que os critérios para a avaliação de riscos sejam desenvolvidos para avaliar os riscos de segurança da informação na organização, considerando os seguintes itens:

      - O valor estratégico do processo que trata as informações de negócio

      - A criticidade dos ativos de informação envolvidos

      - Requisitos legais e regulatórios, bem como as obrigações contratuais

      - Importância do ponto de vista operacional e dos negócios, da disponibilidade, da confidencialidade e da integridade

      - Expectativas e percepções das partes interessadas e conseqü.ncias negativas para o valor de mercado (em especial, no que se refere aos fatores intangíveis desse valor), a imagem e a reputação.

    Além disso, critérios para avaliação de riscos podem ser usados para especificar as prioridades para o tratamento do risco."

    Espero ter ajudado!

  • CERTO.

    Segundo a ISO/IEC 27002,"7.2 Classificação da informação

    A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. Convém que um sistema de classificação da informação seja usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.

    7.2.1 Recomendações para classificação

    Controle

    Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização."

ID
1055587
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de gestão de ativos, julgue os itens a seguir.

O inventário dos ativos faz parte do processo de gestão de ativos.

Alternativas
Comentários

  • 7 Gestão de ativos 
    7.1 Responsabilidade pelos ativos
    7.1.1 Inventário dos ativos

    Controle
    Convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido.

  • ISO 27002 - 2013

    8 Gestão de ativos 
    8.1 Responsabilidade pelos ativos
    8.1.1 Inventário dos ativos

    Controle
    Convém que os ativos associados com informação e com os recursos de processamento da informação sejam identificados e um inventário destes ativos seja estruturado e mantido.


ID
1055590
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de gestão de continuidade de negócio (GCN), julgue os itens que se seguem.

Em um processo de GCN, a gestão de riscos relativa à segurança da informação não contempla atos terroristas.

Alternativas
Comentários
  • 14.1.2 Continuidade de negócios e análise/avaliação de riscos

    Diretrizes para implementação
    Convém que os aspectos da continuidade do negócios  relativos à segurança da informação sejam baseados na identificação de eventos (ou sucessão de eventos) que possam causar interrupções aos processos de negócios das organizações, por exemplo falha de equipamento, erros humanos, roubo,incêndio, desastres naturais e atos terroristas.


ID
1055593
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de gestão de continuidade de negócio (GCN), julgue os itens que se seguem.

Vulnerabilidades são falhas desconhecidas e que não possuem risco identificado; por essa razão, o plano de continuidade do negócio não proporciona tratamento para vulnerabilidades.

Alternativas
Comentários

  • ERRADO.

    Segundo a ISO 27002, Termos e definições,

    "2.17 Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças."

    Segundo a ISO 27002,

    14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação,

    "Diretrizes para implementação

    Convém que o plano de continuidade do negócio trate as vulnerabilidades da organização, que pode conter informações sensíveis e que necessitem de proteção adequada."

  • Assertiva ERRADA. 


    Não tem como você tratar de vulnerabilidades pois elas são desconhecidas, mas tem como você incluir elas no plano de negócio pois sabe-se que elas existem. 

  • "Não tem como você tratar de vulnerabilidades pois elas são desconhecidas, (...)": Cuidado, vulnerabilidades podem muito bem ser conhecidas. Lembrando que vulnerabilidade é inerente ao ativo. Por exemplo, você sabe que seu sistema não possui anti-vírus e pode ser invadido por vírus, hackers, etc (ameaças exploram vulnerabilidades e podem causar incidentes). Dessa forma, a ideia é você fazer uma análise/avaliação de riscos e selecionar controles para combater essas ameaças.


    Analisando a questão:
    "Vulnerabilidades são falhas desconhecidas (...)": Errado! Vulnerabilidades não são falhas, são fragilidades nos ativos, podem ser ou não conhecidos!

    "(...) e que não possuem risco identificado; (...)": Bom, ameaças exploram vulnerabilidades e podem causar incidentes. Incidentes são 1 ou mais eventos de segurança. Risco é a probabilidade e consequência de um evento de segurança. Ou seja, uma vulnerabilidade pode sim indicar um Risco. Correto esse trecho.

    "(...) por essa razão, o plano de continuidade do negócio não proporciona tratamento para vulnerabilidades.": OK. Convém que o plano de continuidade do negócio trate as vulnerabilidades da organização, que pode conter informações sensíveis e que necessitem de proteção adequada."

  • Se eu vejo uma questão que REBAIXA a Gestão de Continuidade de Negócios já fico louco para marcar ERRADO.

    Quase todos as boas práticas de TI cita sobre a Gestão de Continuidade

ID
1055596
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de gestão de continuidade de negócio (GCN), julgue os itens que se seguem.

O processo de GCN não deve prever a recuperação da perda de ativos da informação e a redução de seu impacto sobre a organização.

Alternativas
Comentários

  • ERRADO. 

    Segundo a ISO 27002,"14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação

    Convém que o processo de gestão da continuidade do negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) a um nível aceitável através da combinação de ações de prevenção e recuperação."

ID
1055599
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, referentes ao gerenciamento de incidentes de segurança da informação.

Caso ocorra um evento de segurança de informação, recomenda-se que o agente observador tome uma ação pessoal para mitigar o risco e, em seguida, comunique o fato ao ponto de contato.

Alternativas
Comentários

  • ISO 27002 - 13.1 Notificação de fragilidade e EVENTOS de segurança da informação.

    OBJETIVO: Assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. 

    13.1.1  Notificação de eventos de segurança da informação. 

    Controle: Convém que os eventos de segurança da informação sejam relatados através dos canais apropriados da direção, o mais rapidamente possível. 

  • Complemento.

    Segundo a ISO 27002,"13.1.2 Notificando fragilidades de segurança da informação

    Informações adicionais

    Convém que os funcionários, fornecedores e terceiros sejam alertados para não tentarem averiguar uma fragilidade de segurança da informação suspeita. Testar fragilidades pode ser interpretado como um uso impróprio potencial do sistema e também pode causar danos ao sistema ou serviço de informação, resultando em responsabilidade legal ao indivíduo que efetuar o teste."

  • Gabarito Errado

    Ação pessoal ???

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
1055602
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, referentes ao gerenciamento de incidentes de segurança da informação.

Após um incidente de segurança de informação ser tratado, um trabalho forense deverá ser realizado sobre os originais do material de evidência.

Alternativas
Comentários

  • Não se utiliza os originais do material, mas convém que qualquer trabalho forense seja somente realizado em cópias do material de evidência.

  • [...] deverá ser realizado sobre os originais do material de evidência. (ERRADO)

    Segundo a ISO 27002,p. 114, "

    13.2.3 Coleta de evidências

    Diretrizes para implementação

    b) para informação em mídia eletrônica: convém que imagens espelho ou cópias (dependendo de requisitos aplicáveis) de quaisquer mídias removíveis, discos rígidos ou em memórias sejam providenciadas para assegurar disponibilidade; convém que o registro de todas as ações tomadas durante o processo de cópia seja guardado e que o processo seja testemunhado; convém que a mídia original que contém a informação e o registro (ou, caso isso não seja possível, pelo menos uma imagem espelho ou cópia) seja mantido de forma segura e intocável.

    Convém que qualquer trabalho forense seja somente realizado em cópias do material de evidência."

  • Pra mim a coópia é uma parte vital do processo forense e obviamente se faz nos originais. Essa questão caberia recurso, pois um trabalho forense foi feito sobre os originais (cópia) e o restante se faz na cópia.

  • Questão quase certa pra Perito de TI .

ID
1055605
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, referentes ao gerenciamento de incidentes de segurança da informação.

A tomada de ações corretivas em tempo hábil depende da notificação de fragilidades e ocorrências de eventos de segurança da informação.

Alternativas
Comentários

  • CERTO

    Segundo a ISO 27002,"

    13 Gestão de incidentes de segurança da informação

    13.1 Notificação de fragilidades e eventos de segurança da informação

    Objetivo: Assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil."

ID
1055608
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

Um administrador de rede de dados inseriu um switch de camada 3 entre dois roteadores ligados diretamente com a Internet e isolou as portas dos roteadores em duas VLANs distintas no respectivo switch. Considerando que, após esse procedimento, os endereços IPs dos roteadores em suas respectivas VLANs passaram a ser diferentes, julgue o item abaixo.

Se o switch for capaz de fazer roteamento entre as VLANs, ele permitirá a propagação dos endereços MAC das interfaces dos dois roteadores entre as respectivas VLANs criadas, em redes diferentes.

Alternativas
Comentários

  • Alternativa errada.

    Na verdade é ao contrário. Se o switch emitir um pacote broadcast perguntando os endereços MACs para uma VLAN (VLAN1), a outra (VLAN2) não receberá essa solicitação. O Objetivo de criar uma VLAN é, exatamente, não permitir a conexão entre as redes. Só se o administrador configurar para tal.

  • Mas justamente a questão não diz que o switch faz o roteamentro entra as VLANs ? 

    Ela pergunta "se o switch for capaz de fazer o roteamentro entre as VLANs...", ou seja, pressupoe-se que o switch pode intercambiar pacotes entre as VLANs. Neste caso, um pacote enviado de uma VLAN em direção à outra seria roteado pelo switch.
    Não está certo este raciocínio ?
  • Diego,

    Ele colocou este comentário para dizer que o switch é de camada 3, portanto, capaz de fazer interligação entre VLAN's distintas. Mas se há uma VLAN não quer dizer que ele irá fazer esta conexão.
    OBS: O switch de camada dois não é capaz de interligar VLAN's distintas.

  • Não entendo muito bem a questão. Endereços MAC não são propagados na rede?

  • A afirmativa não estaria errada pelo fato de endereços MAC não trafegarem na camada 3? Acertei a questão usando esse raciocínio.

  • Quer dizer então que é impossível um host na VLAN1 enviar um pacote ARP para o roteador na VLAN2 e conhecer o endereço MAC?

  • As duas VLANs não vão se comunicar a não ser que o ADM configure para isso. Via de regra não há comunicação

  • Errado!

    Endereço Físico (MAC) NUNCA se propaga para a camada 3

  • Creio que essa comunicação só será possível se as portas do switch onde o routers estão conectados fizerem parte de um TRUNK.

  • A questão está errada porque mesmo sendo um switch de layer 3, broadcast não é propagado em redes diferentes, somente na rede local, ou seja, mesmo que o switch tivesse a capacidade de fazer o roteamento entre as VLANS, que significa que ele teria como mudar a tagging de VLAN, exemplo, recebe o frame na vlan1, identifica que o mac de destino pertence a VLAN2, então ele troca o VLAN ID do frame para VLAN2 e encaminha o frame, ele por estar usando o protocolo 802.1q que segrega domínios de broadcast, não seria capaz de propagar os mac dos roteadores em redes diferentes, porque quando o broadcasr chegasse ele simplesmente nã propagaria em outras redes. Por isso a questão está errada.

  • PESSOAL,SWITCH L3 PROPAGA O ENDEREÇO IP

    QUEM PROPAGA ENDEREÇO MAC É O L2!

  • Falou roteador e endereço MAC juntos? NADA A VER!

    Roteador = camada de rede

    Endereço MAC = enlace

  • Acho que o erro da questão é citar '' propagação do endereço Mac, ou seja, seu roteamento'' .....

    Endereço Mac

    • Único,
    • Hexadecimal
    • Não é Roteavel, pois é o endereço físico!!

  • Galera, é o seguinte, rápido e fácil:

    Para conectar redes o switch (L3 nesse caso) precisa trabalhar na camada de rede (camada 3), sendo que o MAC é o identificador que fica na camada de enlace (camada 2).

    O objetivo do examinador é confundir você, por conta que em regra o switch é da camada de enlace, porém também pode fazer a conexão de redes, assim trabalhando na camada 3.

    CONTINUE, DEUS HONRA NA HORA CERTA.

ID
1055611
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

O endereço IP de uma rede local é 10.100.100.0/24 e a única saída para a Internet é um roteador de saída cujo endereço IP é 200.20.20.1/30. Considerando que o administrador dessa rede tenha definido a utilização do NAT, julgue os itens seguintes.

Se existir um servidor web respondendo na porta 443 na rede 10, então, a fim de tornar esse servidor visível na Internet, o roteador deverá ser configurado para encaminhar todos os pacotes com destino o endereço IP 200.20.20.1 na porta 443 para o IP interno do servidor web. Ao retornar os pacotes, o roteador deverá modificar o IP de origem para 200.20.20.1.

Alternativas
Comentários

  • Correta. É a idéia básica do NAT.

  • Gabarito Certo

    Nat puro !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • A questão trata do NAT reverso. Ou seja, para publicarmos um serviço qualquer na Internet a partir de um endereço

    privado de determinado servidor, este deverá ser mapeado através do NAT reverso em uma porta específica no servidor NAT para que seja visível na Internet.

    A questão retrata exatamente esse cenário com endereços definidos. Vale ressaltar a preocupação da banca em afirmar que na resposta à requisição com origem externa, o servidor de NAT deverá modificar o IP de origem, pois o endereço de origem original da resposta é um endereço privado, correspondendo ao servidor

  • QUESTÃO BEM DIDÁTICA DO PROTOCOLO NAT. CESPE É CESPE.

  • CORRETO

    (IP privado) <-> NAT <-> (IP público)<-> internet

    IPs privados:

    A=10.0.0.0 – 10.255.255.255

    B=172.16.0.0 – 172.31.255.255

    C=192.168.0.0 – 192.168.255.255

    -----------------

    Na questão:

    IP privado ->classe A= 10.100.100.0/24

    IP público -> Classe C = 200.20.20.1/30

    443= HTTPS= serviço web

    --------------------------------------------------

    cliente= IPprivado 10.100.100.0 <-> NAT(roteador)<->IPpúblico 200.20.20.1<-> HTTPS( 443)->(serviço web)

ID
1055614
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

O endereço IP de uma rede local é 10.100.100.0/24 e a única saída para a Internet é um roteador de saída cujo endereço IP é 200.20.20.1/30. Considerando que o administrador dessa rede tenha definido a utilização do NAT, julgue os itens seguintes.

Se o administrador utilizar um proxy na rede 10, o NAT para esse proxy deve usar o endereço IP 200.20.20.1 para a internet e o roteador de saída deve fazer o tratamento da conversão de endereços.

Alternativas
Comentários

  • Se o endereço do roteador é /30, ele tem dois endereços para usar. Não necessariamente eu preciso usar o 200.20.20.1, posso usar o 200.20.20.2.

    Acredito que a questão deveria ser considerada errada no momento que afirma que DEVE ser usado o endereço 200.20.20.1.

  • Neuton, mais esse router precisa de um GW, que seria o outro IP: 200.20.20.2. Assim ficaria o roteador da questao com o ip de final 1 e na outra ponta o roteador com final 2, esse roteador poderia ter uma outra interface ou outras interfaces para estabelecer rotas de saida.

  • Neuton, no enunciado diz "e a única saída para a Internet é um roteador de saída cujo endereço IP é 200.20.20.1/30", ou seja, o proxy deve usar o único endereço de saída disponível.

  • Não seria o NAT fazer a conversão de endereços e o roteador usar o endereço IP 200.20.20.1?

  • o NAT é capaz de mapear endereços públicos em endereços privados.

    Um proxy é um equipamento intermediário entre a origem e destino das requisições. Portanto, qualquer resposta vinda da Internet para o Proxy, será direcionada ao endereço 200.20.20.1, pois este endereço concentra todas as saídas da rede Interna para a externa, logo, o destino só conhecerá esse IP para encaminhar a sua resposta.

  • Bem, concordo com jacartap p. Analisando por partes(Chico Picadinho)

    O endereço IP de uma rede local é 10.100.100.0/24 -- aqui temos uma rede interna com até 253 hosts, conectada a uma das portas do roteador. Uma das portas do roteador, necessariamente, vai pertencer à rede interna(razão pela qual a rede não vai possui 254, mas 253 hosts disponiveis)

    e a única saída para a Internet é um roteador de saída cujo endereço IP é 200.20.20.1/30. -- perceba que o /30 permite apenas dois IPs, que é o 200.20.20.1 e o 200.20.20.2

    Se o administrador utilizar um proxy na rede 10, o NAT para esse proxy deve usar o endereço IP 200.20.20.1 para a internet -- Pra mim isso tá errado. Não é deve, e sim pode.

    e o roteador de saída deve fazer o tratamento da conversão de endereços. -- Sim, sem comentarios.

    Obs: Lembra do "como estou dirigindo"?

    Como estou comentando?? Podem detonar!!! Mas é pra entrar de sola, de voadeira q é pra eu aprender!!!

    Fica mais claro se vc ler esse artigo[1]. Odeio usar wikis como fontes, mas esta esta certinha.

    Fonte:

    [1] https://wiki.sj.ifsc.edu.br/index.php/NAT

ID
1055617
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

Acerca das características e dos processos de mitigação de um ataque de negação de serviço distribuído, julgue os itens subsequentes.

Ataques de negação de serviço distribuído com base em HTTP devem ser mitigados em firewall de camada de aplicação. Nesse caso, se for utilizado o protocolo HTTPS, a mitigação não será possível porque os dados trafegados são cifrados.

Alternativas
Comentários

  • Alguém pode comentar?

  • Acho que o erro está em "devem ser mitigados em firewall de camada de aplicação". 

    Um ataque desse tipo é muito difícil de ser detectado na camada de aplicação, pois é tido como tráfego legítimo. O que os hosts costumam fazer é bloquear a faixa de IPs que estão consumindo demasiadamente os recursos.

  • Concordo com o Bruno, acho que não é possível bloquear ataques ddos com firewall não. Na verdade é um tipo de ataque muito difícil de ser detectado.

  • Neste caso acredito que o firewall de aplicação possa sim fazer o bloqueio, uma vez que os dados criptografados estejam encapsulando apenas o payload, mas não o cabeçalho, será possível verificar ataques de determinadas origens através dos cabeçalhos e então efetuar o bloqueio.

  • A resposta da questão é ERRADO.

    Na camada de aplicação a criptografia já foi desfeita, portanto já seria possível a visualização do payload.
    A partir do momento que os dados chegam na "aplicação" o processo reverso é realizado (descriptografa o dado), deste modo, por ser um terminador do tráfego SSL, o firewall de camada de aplicação, pode avaliar hipertextos criptografados (HTTPS) que originalmente passariam despercebidos ou não analisados por firewalls tradicionais de rede.

    Espero ter ajudado.

  • Excelente post Helton Carlos Lima Godoy, é isso mesmo.

  • Acredito q há dois erros na questão:

    (1) Ataques de negação de serviço distribuído com base em HTTP devem(podem) ser mitigados em firewall de camada de aplicação. Nesse caso, se for utilizado o protocolo HTTPS, a mitigação não será possível porque os dados trafegados são cifrados.

    Conforme essa fonte[1] apesar de um firewall de aplicação Web (Web Application Firewall – WAF) ajudar a proteger as aplicações ele deve ser usado como uma camada a mais e não como solução única de segurança, pois qualquer falha que apresente pode colocar em risco toda a aplicação.

    O outro erro foi o apontado pelo Helton.

    Fonte:

    [1] https://www.brdefender.com.br/noticias/2016/05/11/saiba-como-reduzir-risco-de-ataque-distribuido-de-negacao-de-servico.html

  • Bruno Soares e Algum Concurseiro,

    É possível sim mitigar os efeitos de um ataque DDoS com firewall. Existe um tal de WAF (Web Application Firewall) que atua na camada de aplicação e funciona como um proxy reverso para proteger o servidor

    FONTE: https://www.cloudflare.com/pt-br/learning/ddos/glossary/web-application-firewall-waf/

  • O Firewall de Aplicação é normalmente instalado junto à plataforma da aplicação, atuando como uma espécie de Proxy. Esta tecnologia é capaz de mapear todas as transações que acontecem na camada de aplicação web, além de poder avaliar HTTPS criptografadas que não seriam analisadas por firewalls tradicionais.

ID
1055620
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

Acerca das características e dos processos de mitigação de um ataque de negação de serviço distribuído, julgue os itens subsequentes.

Um DDoS com base em ICMP será efetivo somente se for realizado no protocolo IPv4, uma vez que, em IPv6, o uso de ICMP é restrito para interface de loopback.

Alternativas
Comentários

  • ataque de negação de serviço( também conhecido como DoS Attack, umacrônimoeminglêsparaDenial of Service), é uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. Alvos típicos sãoservidores web, e o ataque tenta tornar as páginas hospedadas indisponíveis naWWW. Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga. Os ataques de negação de serviço são feitos geralmente de duas formas: Forçar o sistema vítima a reinicializar ou consumir todos os recursos (comomemóriaouprocessamentopor exemplo) de forma que ele não pode mais fornecer seu serviço.

    • Origem: Wikipédia, a enciclopédia livre.

    • ICMP,siglapara oinglêsInternet Control Message Protocol, é um protocolo integrante doProtocolo IP, definido pelo RFC792, e utilizado para fornecer relatórios de erros à fonte original

         Um loopbacké um canal de comunicação com apenas um ponto final. Qualquer mensagem transmitida por meio de tal canal é imediatamente recebida pelo mesmo canal.

    Origem: Wikipédia, a enciclopédia livre

    Correta

  • Questão errada. 

    O erro da questão está em dizer que no IPV6 o uso do ICMP é restrito. Na verdade as funcionalidades são ampliadas, conforme o texto abaixo extraído da CISCO:
    In IPv4, ICMP provides error reporting, flow control and first-hop gateway redirection. This functionality, which is also available in IPv6, is usually not essential to the operation of your network. With IPv6, however, ICMP has gained a much more significant and essential role because of new functionality that is now performed through ICMP. Fragmentation, Neighbor Discovery, and StateLess Address AutoConfiguration (SLAAC) represent essential functionality which is now performed using ICMP messages. Furthermore, many ICMP messages are designed to be sent to multicast addresses instead of only unicast addresses. Therefore, ICMP in IPv6 gains a whole new importance along with a new set of security concerns.
    []'S

  • Inclusive existe o ICMPv6.

    ICMPv6 is an integral part of IPv6 and performs error reporting and diagnostic functions (e.g., ping), and has a framework for extensions to implement future changes.

  • [...] Como os dispositivos IoT utilizados não estavam rodando serviços nas portas testadas, o tráfego refletido analisado pelo trabalho foi apenas o de mensagens ICMP/ICMPv6 do tipo Port unreachable. O estudo avaliou que há potencial de ataques dessa natureza envolvendo dispositivos IoT, tanto para IPv4 quanto para IPv6, e que, em redes IPv6, os ataques são mais eficientes e mais esmagadores do que em IPv4, em virtude do cabeçalho IPv6 possuir o dobro de tamanho do IPv4.

    Fonte: VASQUES, Alan Tamer. Análise de Saturação de Dispositivos IoT Atuando como Refletores em Ataques Distribuídos de Negação de Serviço por Reflexão Amplificada. Disponível em: <https://repositorio.unb.br/bitstream/10482/40089/1/2020_AlanTamerVasques.pdf>.

ID
1055623
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

Considere que um administrador de redes de uma empresa tenha realizado a captura de um tráfego suspeito com destino ao servidor web da empresa. Considere, ainda, que, ao verificar o fluxo de dados, o administrador tenha percebido uma grande quantidade de POSTs HTTP versão 1.1. Com base nessa situação hipotética, julgue o item abaixo.

Na análise do código, é possível que as URLs com o POST contenham mais que 2.048 caracteres, dado não existir, no padrão W3C para POST, limite predeterminado de caracteres.

Alternativas
Comentários
  • Fonte onde foi retirada a questão: http://www.w3schools.com/tags/ref_httpmethods.asp


  • Para quem não entende os comentários sem o gabarito e não tem acesso a resposta.

    Gaba: CERTO

  • Microsoft Internet Explorer tem um comprimento máximo de URL (Uniform Resource Locator) de 2.083 caracteres. O Internet Explorer tem um comprimento máximo de caminho de 2.048 caracteres. O limite se aplica a URLs de solicitação POST e GET.

    Caso esteja usando o método GET, você está limitado a um máximo de 2.048 caracteres, menos o número de caracteres no caminho real.

    No entanto, o método POST não está limitado pelo tamanho da URL de envio dos pares nome/valor. Os pares são transferidos no cabeçalho e não na URL.

    O RFC 2616, "Hypertext Transfer Protocol -- HTTP/1.1", não especifica nenhum requisito em relação ao comprimento da URL.

  • URL character limit outside Internet Explorer

    Se outros navegadores são utilizados além do Internet Explorer, o próximo limite será o limite de CABEÇALHO da Rede de Entrega de Conteúdo. Se o tamanho do URI exceder 4 mil, o servidor gerará um erro 4xx/5xx, dependendo do ambiente.

    Em resumo, os padrões da Rede de Entrega de Conteúdo da Adobe estão descritos abaixo:

ID
1055626
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

Julgue os itens a seguir, no que se refere ao IPTables.

O comando iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE deve ser utilizado apenas quando existir endereço IP estático em interfaces point-to-point.

Alternativas
Comentários
  • O comando iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE deve ser utilizado apenas quando existir endereço IP estático (na verdade é dinâmico) em interfaces point-to-point.

    sintaxe: iptables [-t tabela] [opção] [chain] [dados] -j [acao]
    -t = tabela (nat)
    -A = adiciona regra (POSTROUTING)
    -o = interface de saída (ppp0)
    -j = alvo (masquerade)

    masquerade - tipo especial de snat usado para conectar uma rede interna à internet que se recebe um IP dinâmico de um provedor com conexão ppp.

    tipos de nat:
    prerouting - consultado quando os pacotes precisam ser modificados ao chegarem
    output - consultado quando os pacotes gerados localmente precisam ser modificados antes de serem roteados
    postrouting - consultado quando os pacotes precisam ser modificados após tratamento do roteamento

    http://pt.slideshare.net/leodamasceno/iptables-bsico

  • essa cai na pf

ID
1055629
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

Julgue os itens a seguir, no que se refere ao IPTables.

O comando iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 200.10.10.1 está sintaticamente correto e faz a tradução dos endereços de origem que saem pela eth0 para o IP 200.10.10.1.

Alternativas
Comentários

  • Essa regra faz com quetodos os pacotes que irão sair pela interface eth0 tenham o seu endereço de origemalterado para 200.10.10.1 

  • sintaxe: iptables [-t tabela] [opção] [chain] [dados] -j [acao]
    -t = tabela (nat)
    -A = adiciona regra (POSTROUTING)
    -o = interface de saída (eth0)
    -j = alvo (SNAT)
    --to = IP de destino (200.10.10.1)

    snat (source nat) - nat no endereço de origem, consiste em modificar o endereço de origem das máquinas clientes antes dos pacotes serem enviados

    tipos de nat:
    prerouting - consultado quando os pacotes precisam ser modificados ao chegarem
    output - consultado quando os pacotes gerados localmente precisam ser modificados antes de serem roteados
    postrouting - consultado quando os pacotes precisam ser modificados após tratamento do roteamento

    http://pt.slideshare.net/leodamasceno/iptables-bsico

  • essa questão nos filtros esta como MUITO FÁCIL... HAHAHAHA

  • Não entendi nada, mas a intuição falou que estava certa,... e estava kkk

    essa eu deixaria em branco na prova

ID
1055632
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de certificação digital, julgue os itens seguintes.

Ao utilizar um certificado digital de 2.048 bits, tanto a chave privada quanto a chave pública terão 1024 bits, que somadas geram o certificado de 2048 bits.

Alternativas
Comentários

  • Comentários sobre????

  • A chave privada tem que ser muito mais segura que a pública, portanto, não faz sentido elas terem tamanhos iguais.

  • Na verdade o certificado é a chave pública de uma organização, devidamente assinado por uma AC, garante a autenticidade e integridade. Assim, ao utilizar um certificado de 2.048 bits a chave pública terá 2.048 bits.

  • Agora fiquei confusa! Um diz que a chave privada deve ser maior e agora outro colega diz que a pública por si só tem os 2.048. Maiores explicações???????????????? Obrigada.

  • Sendo mias direto, em referência à questão, acho que o erro está na soma das duas chaves. Se um certificado é criado com a chave simétrica (privada) de 2048 bits, então para acessar o conteúdo determinado, o usuário deverá ter uma chave assimétrica (publica) de 2048 bits. Não há somatório delas.

  • Ambas as chaves possuirão mesmo tamanho 2048 bits

  • Desculpa a ignorância, mas uma não seria o par da outra? Com a mesma importância. A diferença seria que uma é do conhecimento de todos e a outra somente o "dono" pode saber.

  • Gabarito Errado

    Ambas as chaves devem possuir 2.048 bits.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
1055635
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de certificação digital, julgue os itens seguintes.

O algoritmo RSA gera chaves públicas de tamanho fixo e limitado a 2.048 bits.

Alternativas
Comentários

  • o algoritmo RSA pode gerar chaves de vários tamanhos:1.024/ 2.048/ 4.096 bits, para uma segurança mais duradoura.

  • Para fins de esclarecer o que é RSA [o que eu não sabia também] encontrei um conceito disponível em http://pt.wikipedia.org/wiki/RSA  que diz:

    RSA é um algoritmo de criptografia de dados, que deve o seu nome a três professores do Instituto MIT (fundadores da actual empresa RSA Data Security, Inc.), Ronald Rivest, AdiShamir e Leonard Adleman, que inventaram este algoritmo — até a data (2008), a mais bem sucedida implementação de sistemas de chaves assimétricas, e fundamenta-se em teorias clássicas dos números. É considerado dos mais seguros, já que mandou por terra todas as tentativas de quebrá-lo. Foi também o primeiro algoritmo a possibilitar criptografia e assinatura digital, e uma das grandes inovações em criptografia de chave pública. [grifo meu].

  • Esse algoritmo assimétrico foi criado em 1977 por Rivest, Shamir e Adleman. O tamanho de sua chave pode variar entre 512 a 2048 bits. É atualmente utilizado em larga escalada pela maioria das aplicações que utilizam criptografia assimétrica.

  • Gabarito Errado

    O RSA pode variar entre 512 a 2048 bits.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Acredito q pode chegar a 4.096 bits.

     

    Permitam-me um adendo: eu acho interessantes esses comentários nas questões. Notei que há um participante q em abril de 2018 citou q o RSA pode gerar chave com tamanho de 4.096 bits...entretanto, na data de hj (22/07/2018) este mesmo participante citou que o tamanho é até 2.048 bits. 

    Eu, cá em minha insignificância fico...encantada...com este tipo de paradoxo. Acredito q meu QI deva estar muito aquém daquele necessário para concatenar discrepância com " nunca retroceder"...

  • Opa, falha minha Elaine...

    A discussão então recai em qual é o tamanho seguro para o módulo usado no RSA? Ainda de acordo com Christof Paar muitas aplicações utilizam módulos de 1024 bits porém hoje em dia acredita-se que será possível fatorar números desta magnitude em 10-15 anos e a agências de inteligência podem ser capazes de fazê-lo ainda mais rápido, já que tipicamente empregam as maiores autoridades em criptografia do mundo. Portanto, já é aconselhado utilizar parâmetros de RSA da ordem de 2048-4096 bits para uma segurança mais duradoura.

    Desculpe e vamos na fé Linda !

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Assertiva errada. Uma vez que o RSA, algoritmo utilizado em criptografia de chaves públicas, é utilizado pela ICP - BR na emissão de certificados digitais; e sabemos que há certificados que variam entre 2048 a 4096 bits.

    Tomem como exemplo - C.D A4 e S4: geração das chaves feita por hardware; chaves de tamanho mínimo de 2048 bits; armazenamento em cartão inteligente ou token USB; validade máxima de seis anos.

    Gabarito errado.

  • -> RSA

    - Sinônimo de chave publica

    - Baseia-se na dificuldade de se fatorar números inteiros muito grande

    - Tamanho de chave 2048 a 4096 bits

    - Aplicações utilizam chaves de 1024 bits

ID
1055638
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens a seguir acerca de bancos de dados.

Em um banco de dados relacional, os dados são armazenados em tabelas, sem dependências multivaloradas.

Alternativas
Comentários

  • Dependência Funcional

    Dependencia funcional é quando um atributo X identifica um atributo Y ou quando um atributo Y é dependente de um atributo X.

    Exemplo: Cidade → Estado (Cidade determina estado)

    Representação:

    X→Y (X determina Y ou Y e depentende de X)

    Transitividade

    Quando um atributo X identifica um atributo Y que indentifica um atributo Z.

    Exemplo: Cidade → Estado → País ou Cidade → País (Cidade determina Estado que determina País ou Cidade determina País)

    Representação:

    X→Y→Z ou X→Z (X determina Y que determina Z ou X determina Z)

    Dependência Funcional Irredutivel à Esquerda

    O lado esquerdo de uma dependencia funcional somente é irredutivel quando o determinante está na sua forma mínima.

    Dependência Multivalorada DMV

    É uma ampliação da Dependência Funcional, ou seja, um atributo X pode determinar vários atributos Y.

    Exemplo: CPF pode ter vários Dependentes

    Representação

    X →→Y (X multidetermina Y ou Y multidependente de X)


  • Gabarito: Errado

    Em um banco de dados relacional normalizado, os dados são armazenados em tabelas, sem dependências multivaloradas.

  • A 4ª Forma Normal serve justamente para eliminar as dependências multivaloradas. Para que um banco de dados pertença, por definição, ao modelo relacional é necessário que ele esteja, no mínimo, na 1ª Forma Normal. Logo, é possível conviver com dependências multivaloradas até a FNBC e ainda assim percenter ao modelo relacional de dados.

  • Se tiver normalizado !

  • Errada

    www.totalcross.com

    O termo é aplicado aos próprios dados, quando organizados dessa forma, ou a um Sistema Gerenciador de Banco de Dados Relacional (SGBDR) – do inglês Relational database management system (RDBMS) – um programa de computador que implementa a abstração.

  • Pessoal , não confundir dependência multivalorada com atributo multivalorado. A dependência multivalorada só acontece na 4 forma normal.

  • GABARITO ERRADO!

    .

    .

    ACHO QUE ESSE COMENTÁRIO EXPLICA O DO ZÉ MÁRIO:

    Dependência multivalorada ocorre quando, para cada valor de um atributo A, existe um conjunto de valores para outros atributos B e C que estão associados a ele, mas que são independentes entre si.

    .

    BÓSON TREINAMITOS

ID
1055641
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens a seguir acerca de bancos de dados.

O uso de árvores B+ aumenta a eficiência da pesquisa de dados por meio de índices, porém dificulta a busca de dados sequenciais.

Alternativas
Comentários

  • Busca

    A operação de busca sobre uma árvore B+ pode ser realizada de duas maneiras: iniciando a busca (linear ou binária) pelo apontador para o sequence set ou pelo apontador para a raíz da árvore. O método mais eficiente é pelo apontador para a raíz na qual é semelhante ao realizado numa árvore B. Dessa forma quando buscamos uma chave k, percorremos a árvore de cima para baixo carregando as páginas internas e selecionando a página apontada pelo ponteiro correspondente ao intervalo no qual pertence k e caso uma cópia de k esteja numa página interna devemos carregar a página à direita de k. Encontrado uma página folha o algoritmo deve buscar k nesta e responder se ela se encontra ou não.


  • Sendo mais objetivo: uma das principais vantagens da utilização de uma árvore B+ em relação a uma árvore B é o aumento da eficiência nas buscas sequenciais em relação a esta. Portanto, questão ERRADA.

    Vejamos os motivos dos ganhos de eficiência nas buscas sequenciais em árvores B+:

    "árvore B+ aparentemente foi proposta por Knuth e grande parte da literatura sobre essa estrutura é encontrada em forma de artigos ao invés de livros. Com ela foi possível organizar um arquivo de maneira que o processamento sequencial (característica até então pouco eficiente para árvores B) e aleatório de chaves fossem eficientes

    A idéia inicial desta variação da árvore B é manter todas as chaves de busca em seus nós folha de maneira que o acesso sequencial ordenado das chaves de busca seja um processo mais eficiente do que em árvores B. Obviamente tal acesso sequencial também é possivel nestas, mas, para isso seria necessário algum algoritmo semelhante ao percurso em ordem realizado numaárvore binária.

    Para manter o acesso sequencial, cada nó folha contém apontadores para quais nós são seus predecessores ou sucessores na sequência de chaves e como nas árvores B, as chaves estão ordenadas tanto em suas páginas internas quanto em páginas folha. Dessa forma, quando realizamos uma busca por uma chave k e para encontrarmos a chave k+1, ou seja sua sucessora na ordem, basta verificar a chave ao lado de k caso k+1 esteja na mesma página de k ou carregar a próxima página contida na lista de páginas para verificar qual chave sucede k. Tal procedimento emárvores B seria mais custoso, pois, deveríamos buscar por k+1 iniciando pela raiz da árvore caso k+1 não estivesse na mesma página de k. Em comparação com asárvores B, este tipo de acesso sequencial às chaves é um dos principais benefícios proporcionados pelas árvores B+.

    Além desta característica, também devemos analisar suas semelhanças com as árvores B. A organização das páginas internas ou no inglês index set é semelhante a de uma árvore B, este, por sua vez, armazena cópias de chaves para referênciar as buscas, mas não contém as chaves em si. Já no sequence set estão as páginas folha que contém as chaves inseridas na árvore e funciona como uma lista encadeada permitindo o acesso sequencial ordenado às chaves independente do index set." - fonte : http://pt.wikipedia.org/wiki/Árvore_B+.

    Espero ter ajudo!

  • mas comparando com ler a tabela inteira não é pior o uso de árvores B no percurso sequencial? vai ficar fazendo passeio na árvore e lendo blocos ao invés de ler todos blocos de uma vez? alguém pode ajudar nessa dúvida?

  • As árvores B+ se diferenciam das árvores B convencionais na medida em que possuem os dados somente nas folhas. Essas folhas, por sua vez, possuem referências para a próxima folha, o que permite um melhor desempenho nas consultas que envolvem intervalos (sequências) de dados. Assim, a alternativa está incorreta, pois o que acontece é exatamente o contrário.

    Gabarito: E

ID
1055644
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens seguintes acerca de projetos de bancos de dados.

Qualquer conjunto de tabelas não normalizadas pode ser reduzido a um conjunto de tabelas FNBC (forma normal boyce codd).

Alternativas
Comentários

  • No caso apresentado, pode-se normalmente fazer a normalização das tabelas até a FNBC. Lembrando que para estar na FNBC tem que estar na 3º forma normal que por sua vez esta na 2º e assim por diante.

  • Achei mal elaborada a questão, pois a palavra "reduzido" dá a entender que se diminui a qunatidade de tabelas ao serem normalizadas, mas o que costuma acontecer é o contrário, obtem-se um aumento do nro. de tabelas quando se efetua uma normalização até um grau como esse.

  • Qualquer conjunto de tabelas não normalizadas pode ser reduzido a um conjunto de tabelas FNBC (forma normal boyce codd). 
    Eu discordo do gabarito. Se uma tabela desnormalizada já puder ser normalizada na primeira forma não teria razão para que ela chegasse a ser normalizada ao nível da Boyce Codd, principalmente se ela não dispõe dos requisitos necessários para esse tipo de normalização. Estou correto?

  • Ué, não entendi.... uma tabela não normalizada não é uma atabela que nem atingiu a FN1?

  • marcar certo nessa questão na hora da prova o cara tem que estar em um dia iluminado

  • Lázaro,

    quando a banca definiu "qualquer conjunto de tabelas", ela não estipulou restrições em seus atributos. Por que você limita à normalização dessas tabelas propostas a 1FN? O que impede (no enunciado) que essas tabelas propostas sejam normalizadas na FNBC?

    Outra coisa, o verbo reduzir significa também simplificar. Dependendo do caso, é difícil de manipular tabelas não normalizadas.

    Espero ter ajudado.

ID
1055647
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens seguintes acerca de projetos de bancos de dados.

No modelo entidade/relacionamento, deve-se incluir a chave estrangeira (chave primária) de uma entidade como campo da outra para modelar o relacionamento entre elas.

Alternativas
Comentários

  • Transcrevo o comentário da colega Carla Rodrigues, do timasters:

    Concordo com o Salazar.Já errei questões anteriores que induziam o candidato a pensar que existe chave no modelo entidade relacionamento, quando na verdade, não existe.

    No MER, por ser um modelo conceitual, nós temos atributos identificadores, apenas. Não existe ainda o conceito de chave.O conceito de chave só aparece ao traduzir o MER para o modelo lógico.


  • A forma como eu analise a questão foi diferente da do colega abaixo:

    Marquei a questão como "errada", pois não se deve incluir sempre a chave primária como campo, em uma outra entidade, para modelar o relacionamento entre elas. Existe, por exemplo, os autorrelacionamentos, em que a chave primária é inclusa como campo na própria entidade. Outro exemplo seria os relacionamentos N x N, em que a chave primária seria inserida em uma tabela à parte.

    Se no lugar do "deve", estivesse escrito a palavra "pode", acredito que a questão estaria correta.

  • A chave estrangeira não é necessariamente a chave primária de outra tabela, pode ser a chave candidata.

  • O grande aspecto a ser analisado é que no MODELO ENTIDADE RELACIONAMENTO ainda não estamos falamos em tabela nem em chaves estrangeiras. Fala-se, nesse nível CONCEITUAL, em conjunto de entidades e seus relacionamentos (ou seja, independe se essas entidades vão ser materializadas em um SGBD relacional - em tabelas, SGBD OO - em objetos, SGBD hierárquico - em uma rede de hierarquias, etc). Se a questão tivesse falado em modelo lógico, aí sim (para o caso específico dos SGBDs relacionais) seria correto afirmar que, por exemplo, as restrições do modelo conceitual são materializadas no modelo relacional (SGBDs relacionais, que utilizam relações/tabelas) através de chaves estrangeiras (FKs).

    Questão errada.

  • Concordo com os comentários dos colegas quanto aos méritos de ser ter chaves ou não no MER. Entretanto, acredito que a questão não quis abordar esses pontos especificamente. No meu caso, considerei a questão errada, pois a forma de se modelar um relacionamento é colocando a chaves (candidata) de uma tabela como chave estrangeira em outra tabela. A questão erra ao inverter esses conceitos: "No modelo entidade/relacionamento, deve-se incluir a chave estrangeira (chave primária) de uma entidade como campo da outra para modelar o relacionamento entre elas." Deveria ser: "No modelo entidade/relacionamento, deve-se incluir a chave primária (candidata) de uma entidade como campo da outra para modelar o relacionamento entre elas.".

    Bons estudos!

  • Para quem não entende os comentários sem o gabarito e não tem acesso a resposta.

    Gaba: ERRADO

     

     

  • Isso tudo é grego para mim!

    matei a questão apenas com a palavra "deve-se...".

     

    Na verdade, a Cespe é tradicional nos modelos de questões, tanto é que muitas questões eu respondo somente observando certas palavras que tornam a assertiva errada em 100% das vezes. 

     

    Por isso que os coachings sempre dizem: "façam questões!"

  • Simples, no MER não se coloca atributos (nos desenhos).... foi o que a banca quis dizer a grosso modo

  • A CHAVE ESTRANGEIRA NÃO PRECISA SER A CHAVE PRIMÁRIA

  • No modelo entidade/relacionamento, DEVE-se incluir a chave estrangeira (chave primária) de uma entidade como campo da outra para modelar o relacionamento entre elas.

    ERRADO

    ------------------------

    No modelo entidade/relacionamento, PODE-se incluir a chave estrangeira (chave primária) de uma entidade como campo da outra para modelar o relacionamento entre elas.

    CERTO

  • No MER os relacionamentos são representados pelos losangos. Logo, dispensa-se o uso de chaves estrangeiras!

  • PARA MIM O ERRO DA QUESTÃO ESTÁ EM DIZER QUE CHAVE ESTRANGEIRA DEVE SER INCLUÍDA NO MER, PELO MER ESTAR NO MODELO CONCEITUAL, NÃO SE FALA EM CHAVE ESTRAGEIRA OU PRIMÁRIA NESSE NÍVEL, MAS SIM EM ATRIBUTO CHAVE, DERIVADO E OUTROS. SOMENTE NO MODELO LÓGICO É QUE SE FALA EM TAIS TERMOS DITOS NA QUESTÃO.

  • Gabarito errado

    • Na modelagem conceitual utiliza-se o Modelo Entidade Relacionamento ( que é representado pelo DER)

    • Na modelagem lógica é utilizado o modelo Relacional, esse sim possui a utilização de tabelas, chaves, tuplas...

  • Não existe o conceito de chave primária ou estrangeira no MER e sim Atributos Identificadores

  • Alguns comentários equivocados!

    Existe SIM o conceito de chaves no MER. Como exemplo, cito a questão Q347950

    (CESPE) A respeito do modelo entidade relacionamento (ER), julgue os itens a seguir.

    Quando o relacionamento entre duas tabelas é do tipo N:M, é necessário criar uma nova tabela com as chaves primárias das tabelas envolvidas.

    Gabarito: Certo.

  • Nunca é sempre e tudo depende.

    N:N -> entidade associativa = cria-se uma terceira tabela

    1:1 -> também pode ser representado em até 3 tabelas = técnica de relação de referência cruzada

  • Comentário do professor Rodrigo Borges (tec concursos):

    Caro aluno,

    para resolver a questão, precisamos lembrar que o Modelo entidade/relacionamento (MER) está ainda no modelo conceitual, modelo esse que abstrai a estrutura de dados.

     A questão diz:

     No modelo entidade/relacionamento, deve-se incluir a chave estrangeira (chave primária) de uma entidade como campo da outra para modelar o relacionamento entre elas.

     Somente a partir do modelo lógico (que já se tem a definição do tipo de banco de dados – Orientado a Objeto, Relacional, etc) é que saberemos como cada entidade e relacionamento serão tratados para se relacionarem e o MER não tem a visualização da chave estrangeira.

     No modelo lógico, teremos a definição das chaves primária e estrangeira e, sendo um banco relacional, teremos uma estrutura mais parecida com a das futuras tabelas.

  • O Erro só pode ser em afirmar que possui CHAVE ESTRANGEIRA no MER, uma vez que essa nomenclatura é ultilizada no nivel lógico!!!

  • Gabarito: Errado.

    Pessoal, tem muito comentário equivocado aqui. A exemplo, um dos mais curtidos, que é do colega Siqueira.

    Falou em ATRIBUTO chave, você deve remeter à modelagem conceitual. Há a presença de um MER e DER.

    Quando se fala em CHAVE, você remete à modelagem lógica. Esta, por sua vez, ocorre com a Modelagem Relacional - as nossas queridas tabelas.

    Não há que se falar em chave em modelagem conceitual.

    Tem muito comentário justificando a questão com base no "deve". Não dá pra ficar só apegado a isso não, ein. Usar técnica de prof. que só avalia verbo em questão, ainda mais em questão de TI, é pedir pra perder item.

    Bons estudos!

  • Comentei aqui,anteriormente, mas olha só essa questão:

    No modelo entidade-relacionamento, a expressão chave primária identifica um conjunto de um ou mais atributos que, tomados coletivamente, permitem identificar de maneira unívoca uma entidade em um conjunto de entidades, que é escolhida pelo projetista do banco de dados como de significado principal.(CERTO)

    EAI CESPE? É pra rir ou chorar?

    Na Prova voce tenta rezar para SANTA RITA, e ver qual será o posicionamento da BANCA kkkkk ,

ID
1055650
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens seguintes acerca de projetos de bancos de dados.

Em uma tabela na primeira forma normal, a exclusão de um registro pode levar à eliminação de outras informações relevantes, como, por exemplo, relacionamento entre entidades.

Alternativas
Comentários

  • Resposta: C

    Se você tem a tabela A, a tabela B, e uma tabela C (que serve de intermediária, para relacionamento entre as duas) e você apaga o registro da tabela C que faz a ligação entre as duas, você perde o relacionamento.

    No mundo real, existiria uma chave estrangeira que impediria essa exclusão. Mas lembre-se que a 1FN não fala de chave estrangeira. :)

  • A primeira formal normal apenas trata a questão da eliminação de atributos multivalorados. Não trata de dependência entre tabelas. Anomalias de exclusão são tratadas na 3FN. A 1FN não evita a anomalia de exclusão.


  • Gabarito Certo

    Uma tabela está na 1FN, se e somente se, todos os valores das colunas da tabela forem atómicos'

    Assim, podemos dizer que os relacionamentos, como definidos acima, estão necessariamente na 1FN. Uma relação está na 1FN quando todos os atributos da relação estiverem baseados em um domínio simples, não contendo grupos ou valores repetidos.

    Passagem à 1FN

    Encontre a chave primária da tabela;

    Fique ciente de quais são as colunas da tabela que apresentam dados repetidos para que sejam removidas;

    Crie uma tabela para esses dados repetidos, com a chave primária da anterior;

    Por fim, estabeleça relação entre a nova tabela e a principal.

    Outra forma de identificar se a tabela não está na 1FN é verificando se existe tabela aninhadas, ou seja, mais de um registro para uma chave primária.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
1055653
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

A respeito de configuração e administração de bancos de dados, julgue os itens a seguir.

No processo de instalação do SQL Server 2012, deve-se instalar apenas uma cópia das ferramentas de gerenciamento, independentemente da quantidade de instâncias do SQL Server instaladas na máquina.

Alternativas
Comentários
  • Independentemente do número de instâncias do SQL Server, do Analysis Services ou do Reporting Services instaladas no computador, será instalada apenas uma cópia das Ferramentas de Gerenciamento do SQL Server.

    Fonte: https://msdn.microsoft.com/pt-br/library/bb500441(v=sql.120).aspx

  • Correto, na maioria dos casos em informática, a centralização é uma boa prática, para evitar redundância e retrabalho.

ID
1055656
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

A respeito de configuração e administração de bancos de dados, julgue os itens a seguir.

No Oracle 11g, para transportar um tablespace entre bancos de dados distintos, é necessário que os bancos usem o mesmo tamanho de bloco.

Alternativas
Comentários

  • Os blocos são os elementos de menor tamanho em um processo de armazenamento de dados em tablespaces. Assim, os tablespaces são formados por segmentos, que por sua vez contêm extents (extensões), que são formados por blocos do SO. Assim, não existe obrigatoriedade que um tablespace DEVA utilizar os blocos do mesmo tamanho, já que os segmentos e extents podem adequar-se a blocos de vários tamanhos! 

    Vejam essa referência no próprio site da Oracle: 

    "Os dados de um segmento de tabela são armazenados aleatoriamente no tablespace e o DBA tem pouco controle sobre a localização das linhas dos blocos de uma tabela. Por falar nisso, o que é um segmento? Os segmentos são objetos que ocupam espaço em um banco de dados. Existem vários tipos de segmentos como tabelas, índices, de undo, temporários, LOB, entre outros. Já uma extensão (extent), é um espaço usado por um segmento em um tablespace. Para terminar, um bloco Oracle consiste em um ou mais blocos do sistema operacional e seu tamanho é definido na criação do tablespace. Então a estrutura lógica de um banco de dados Oracle se resume em tablespaces que contém segmentos que contém extensões que contém blocos" Ref: http://www.oracle.com/technetwork/pt/articles/database-performance/introducao-conceito-de-tablespaces-495850-ptb.html.

    Espero ter ajudado!

  • Segundo o site da Oracle,

    "The tablespaces being transported can be either dictionary managed or locally managed. Starting with Oracle9i, the transported tablespaces are not required to be of the same block size as the target database standard block size."

    Fonte: http://docs.oracle.com/cd/B28359_01/server.111/b28310/tspaces013.htm#ADMIN11394

ID
1055659
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens subsecutivos, com relação ao tunning de banco de dados.

No SQL Server, o uso de variáveis de tabela permite aumentar o desempenho de determinadas consultas.

Alternativas
Comentários

  • Apesar de nunca ter usado este tipo de variável, usei a lógica de que, pelo fato de estar em memória, terá um bom desempenho. Todavia a banca deu como errada. Veja o que diz o devmedia

    Tenho notado que este recurso é pouco utilizado por desenvolvedores T-SQL. Analisando as consultas realizadas nas bases de dados em que administro. Observei que muitos trechos de código T-SQL poderiam ser substituídos por tabelas variáveis para ganho de desempenho.

    Visando o desempenho e a melhor utilização dos recursos dos servidores de banco de dados. Podemos trocar a utilização das tabelas temporárias é se passasse a utilizar tabelas variáveis. Porém existem suas vantagens e desvantagens que coloco abaixo para todos analisarem;

    Vantagens

    - Devido à sua utilização estritamente local, tabelas criadas a partir de variável tipo TABLE não consomem recursos para controle de bloqueios;

    - A manipulação de dados em variáveis tipos TABLE é mais eficiente porque essas operações são minimamente locadas (um ROLLBACK após um INSERT não tem efeito em variáveis tipo TABLE);

    - Em função do seu escopo local, procedures que se utiliza de variáveis tipos TABLE estão sujeitas a um número menor de recopilações quando comparadas às tabelas temporárias.

    Desvantagens

    - A vida útil de uma tabela criada a partir de um variável tipo TABLE está limitada ao batch e/ou procedure onde é utilizada;

    - Com variáveis tipos TABLE não é permitido: Alteração da estrutura da tabela; Criação de índices não-cluster; Criação de constraints CHECK, DEFAULT; Criação e/ou atualização de estatísticas; Uma variável tipo TABLE não pode ser o destino de INSERT EXEC ou SELECT INTO; Uma variável tipo TABLE só pode ser referenciada por um comando SP_EXECUTESQL se a variável for criada.

    Variáveis tipo TABLE também consomem recursos do TempDB – na verdade tanto tabelas temporárias quanto variáveis tipo TABLE serão criadas em memória para pequeno volume de dados. O diferencial das tabelas temporárias é o log reduzido, o número baixo de recompilações e o ganho de desempenho com a ausência do controle de bloqueios.

    http://www.devmedia.com.br/trabalhando-com-tabelas-variaveis/11484

  • Creio que a banca deu como errada devido ao fato de que em variáveis de tabela não se pode criar índice, e possui um uso mais restrito, diferente das tabelas temporárias as quais se podem criar índices o que melhoraria a consulta relativamente.  

  • Não há essa garantia: depende do tamanho da tabela carregada na variável table. 

    https://msdn.microsoft.com/en-us/library/ms175010.aspx

ID
1055662
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens subsecutivos, com relação ao tunning de banco de dados.

O tunning de um banco de dados relacional deve garantir a normalização das tabelas implementadas.

Alternativas
Comentários

  • O termo tunning ainda pode parecer um enigma para muitas pessoas, mas aos poucos ele vem sendo desvendado e explorado cada vez mais pelos profissionais de TI. Quando aplicado em Tecnologia da Informação (TI), este termo refere-se basicamente ao conceito de propor mudanças e aplicar ideias para otimizar o desempenho na recuperação ou atualização de dados.

    Então tuning refere-se a "tunar" as instruções SQL, não normalizar o banco.



    Leia mais em: Tuning de SQL em bancos de dados Oracle - Revista SQL Magazine 97 http://www.devmedia.com.br/tuning-de-sql-em-bancos-de-dados-oracle-revista-sql-magazine-97/23810#ixzz2xSChajxk

  • Diversos são os casos em que se desnormaliza para obter um melhor desempenho,considerando-se claro que este procedimento deve se feito de forma cautelosa. 

  • Concordando com Wagner Londrina e Uendel Batista, e complementando:

    A normalização realmente pode diminuir o desempenho de um banco, especialmente se ele tiver muitas tabelas e selects muitos joins. Se no sistema existe um relatório que é gerado com frequência e que possui muitos joins, a desnormalização pode ser interessante.

  • não "garante" nada! o tunning propoe e aplica mudanças visando otimizar o desempenho na recuperação ou atualização de dados. Em curtas palavras, Tuning (em TI) é sinônimo de otimização

  • Gabarito Errado

    Em TI, Tuning refere-se basicamente ao conceito de propor e aplicar mudanças visando otimizar o desempenho na recuperação ou atualização de dados. Em curtas palavras, Tuning (em TI) é sinônimo de otimização. Atualmente existem muitas técnicas e dicas de tuning que podem ser aplicadas para otimizar os sistemas corporativos, compreendendo desde o nível do sistema operacional até o nível do seu código-fonte. Para fazer um bom trabalho de Tuning, é necessário executar criteriosamente os seguintes processos:

    Entender o problema;

    Elaborar o diagnóstico;

    Aplicar as dicas e técnicas de otimização (que se aplicam ao diagnóstico elaborado).

    O objetivo principal do trabalho de tuning éminimizar o tempo de resposta e recuperação dos dados das aplicações. Em um Banco de Dados, os 3 tipos de atividades de tuning que podem ser realizadas, são:

    1- Planejamento de performance:
    Definição e configuração do ambiente em que o BD será instalado, considerando-se os seguintes itens: Hardware, Software, Sistema Operacional e Infraestrutura de rede.

    2- Tuning de instância e BD:
    Ajuste de parâmetros e configurações do BD (atividades que fazem parte do trabalho de um DBA).

    3- SQL Tuning:
    Otimização de instruções SQL.

    Para desenvolver bem o 1º tipo de atividade, não há um treinamento específico. É necessário estudar e pesquisar bastante sobre o assunto. Um ponto muito importante é que a maior parte dos problemas de performance estão em instruções SQL ruins (ver item Application na  Imagem 1).

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Errada

    O objetivo principal do trabalho de tuning é minimizar o tempo de resposta e recuperação dos dados das aplicações.

     

    Fonte: https://www.profissionaisti.com.br/2014/05/tuning-em-banco-de-dados-o-que-e-isso/

     

  • Tunning está ligado a desnormalização.

  • Eu entendi o tunning como o fato de ele manter as normalizações que já foram executadas nas tabelas. Alguém pode auxiliar?

  • GABARITO ERRADO!

    .

    .

    Segundo Baptista (2008), “Este método tem o objetivo de minimizar o tempo de resposta e de recuperação de dados, minimizar a concorrência de acesso aos dados, otimizar a taxa de transferência de dados e otimizar a capacidade de carga do Banco de Dados.

    O conceito de Tunning pode ser aplicado, não apenas nos comandos, mas em todo o projeto. Desta forma, os ajustes para otimização podem ser aplicados em sua estrutura lógica, estrutura física, na alocação de memória, ou seja, em todos os setores do projeto em que seja possível realizar ajustes para se obter melhorias."

  • tunning (agilidade) != normalização (exaustão).

    jogou RPG? sorry.

  • Em que lugar do meu material fala de "Tunning" ?

    Concurseiro não tem um dia de sossego, caraca ! rsrs

  • GAB: E

    Tunning é o processo inverso à normalizacao, pois visa aumentar o desempenho das pesquisas do SQL.

    Na normalizacao o desempenho é prejudicado pois aumenta-se os detalhes e as consultas sao mais demorar.

  • Tunning: desnormalizacao para minimizar o tempo de resposta
ID
1055665
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Banco de Dados
Assuntos

Julgue os itens subsecutivos, com relação ao tunning de banco de dados.

O SQL_TRACE e o TKPROF podem identificar se determinada sentença SQL pode ser otimizada a fim de diminuir o consumo de processamento em consulta a banco de dados Oracle.

Alternativas
Comentários


  • http://www.oracle-base.com/articles/8i/tkprof-and-oracle-trace.php

    The TKPROF program converts Oracle trace files into a more readable form

  • O SQL_TRACE provê informação de performance para declarações SQL.

    O TKPROF provê formatação do conteúdo do arquivo de rastreamento e colocar a saída em um arquivo de saída legível.

     

    https://docs.oracle.com/cd/B10501_01/server.920/a96533/sqltrace.htm#1052

  • Gabarito Certo

    SQL Trace

    O SQL Trace gera informações para cada instrução SQL executada por uma determinada instância do Oracle ou gerada por algum usuário específico.

    Dentre as informações geradas, podemos destacar:

    ·         Contadores de parse, fetch e execute.

    ·         Tempos de CPU e o tempo gasto com a instrução.

    ·         Leituras físicas e lógicas.

    ·         Número de linhas processadas.

    As informações são armazenadas nos arquivos de trace do Oracle.

     

    TKPROF

    Este utilitário formata o resultado gerado nos arquivos de trace. São relacionadas todas as instruções que foram executadas, quais recursos foram empregados, o número vezes que foram executadas e a quantidade de linhas processadas.

    De posse destas informações é possível verificar as instruções tem um impacto maior no desempenho.

    Geralmente o problema de desempenho está localizado naquelas instruções mais elaboradas que utilizam recursos pesados para o banco de dados como diversos joins, unions, etc. Porém algumas vezes melhorando o desempenho de uma instrução mais simples, entretanto que executa muitas vezes em um determinado procedimento, poderia ser mais significativa na performance do aplicativo.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
1055668
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Sistemas Operacionais
Assuntos

A respeito da instalação de um servidor Windows Server 2008 R2 com service pack 2, julgue os itens a seguir.

Após instalação e configuração de uma máquina virtual, é possível, por meio do Hyper-V, ajustar dinamicamente o tamanho da memória RAM do sistema virtualizado. Essa característica exige que o hypervisor tenha sob sua gestão pelo menos 32 GB de RAM.

Alternativas
Comentários

  • Não existe nada falando sobre essa característica de 32gb ou outro tamanho qualquer. 

    Vejam: http://technet.microsoft.com/pt-br/library/ff817651(v=ws.10).aspx

  • Essa característica exige que o hypervisor tenha sob sua gestão pelo menos 32 GB de RAM.-> condição inexistente

  • Pessoal, uma das grandes facilidades provenientes de trabalhar com ambientes virtualizados é a flexibilidade para alocar recursos às máquinas virtuais. Isso se aplica diretamente à solução de virtualização existente no Windows Server. Com o Hyper-V, é possível ajustar dinamicamente o tamanho da memória RAM do sistema virtualizado. O erro da assertiva é afirmar que o hypervisor possua pelo menos 32 GB de RAM. Apesar da ambiguidade da redação, não faz sentido essa afirmação. Se houver 16GB, por exemplo, e isto for suficiente para atender a necessidade de memória da VM, ficaríamos impossibilitados de alocá-los, concordam.

    Assertiva errada. 

ID
1055671
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Sistemas Operacionais
Assuntos

A respeito da instalação de um servidor Windows Server 2008 R2 com service pack 2, julgue os itens a seguir.

Uma vantagem do Windows 2008 R2 sobre o Windows 2008 é que o primeiro pode ser instalado em arquiteturas de 32 e de 64 bits, ao passo que o segundo suporta apenas arquitetura de 32 bits

Alternativas
Comentários

  • Errado, a questão inverteu os conceitos. É o Windows 2008 que suporta as 2 arquiteturas( 32 e 64 bits) [1]. O Windows 2008 R2 só tem suporte a 64 bits [2].

    [1] http://en.wikipedia.org/wiki/Windows_Server_2008

    [2] http://en.wikipedia.org/wiki/Windows_Server_2008_R2


  • Windows Server 2008 Foundation: Destinada a empresas de pequeno porte, e limitada a 15 usuários.

    Propriedades:
      - A versão de 32 Bits (x86) suporta um máximo de 4 GB de RAM e até 4 Processadores na configuração SMP;
      - A versão de 64 Bits (x64) suporta um máximo de 8 GB de RAM e até 4 Processadores na configuração SMP.
      - Suporta infraestrutura básica, Active Directory, Serviços de Terminal (Área de Trabalho Remota), é limitado a 50 conexões RDS.

    Windows Server 2008 Standard(R2): Destinada a empresas de pequeno e médio porte.

    Propriedades:
      - A versão de 32 Bits (x86) suporta um máximo de 4 GB de RAM e até 4 Processadores na configuração SMP;
      - A versão de 64 Bits (x64) suporta um máximo de 32 GB de RAM e até 4 Processadores na configuração SMP.
      - Limitado a 250 conexões RRAS, 50 conexões IAS e 2 Grupos de Servidores IAS.
      - Licenciado para o Host e mais 1 máquina virtual.
      - Licenciado para o Host e mais 1 máquina virtual.

    Windows Server 2008 Enterprise: Destinada a empresas de grande porte, em servidores que executarão aplicativos como SQL Server 2008 Enterprise e o Exchange Server 2007/2010.

    Propriedades:
      - A versão de 32 Bits (x86) suporta um máximo de 64 GB de RAM e até 8 Processadores na configuração SMP.
      - A versão de 64 Bits (x64) suporta um máximo de 2 TB de RAM e até 8 Processadores na configuração SMP.
      - Suporta FailOver Clustering.
      - Licenciado para o Host e mais 4 Máquinas Virutais.
      - Licenciado para o Host e mais 4 Máquinas Virutais.

    Como se vê, ambos possuem suporte a 32 e 64 bits, sendo esse o erro da questão.

  • O Windows Server 2008 R2 só dá suporte a processadores x64(64 bits) já as versões anteriores ao R2 suportam ambas arquiteturas(x32 e x64).

ID
1055674
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Sistemas Operacionais
Assuntos

A respeito da instalação de um servidor Windows Server 2008 R2 com service pack 2, julgue os itens a seguir.

Com o advento da versão 2 do Hyper-V no Windows 2008 R2, os sistemas virtualizados podem suportar até 64 processadores lógicos.

Alternativas
Comentários

  • O Hyper-V no Windows Server 2008 R2 inclui diversos novos recursos que não estavam disponíveis no Windows Server 2008:

    Suporte a Processador Aprimorado : O Hyper-V suporta até 64 processadores lógicos e pode executar até 384 VMs com até 512 processadores virtuais. Quando implantado em um cluster de failover o Hyper-V pode suportar até 1000 máquinas virtuais com até 384 máquinas virtuais por host.

    Fonte: http://pt.wikipedia.org/wiki/Hyper-V#Recursos_no_Windows_Server_2008_R2



ID
1055677
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Sistemas Operacionais
Assuntos

Considere que, ao instalar um servidor Linux Red Hat ES6, um administrador de rede tenha optado por usar LVM (logical volume management) em seu ambiente. Com base nessa situação, julgue os itens que se seguem.

Em uma interface de shell, o comando pvcreate permite preparar discos físicos para uso do LVM, porém, esse comando é irreversível.

Alternativas
Comentários

  • Falso, pois temos o comando pvremove para remover um volume físico.

  • 4.2.5. Removendo Volumes Físicos

    Se um dispositivo não é mais requerido para uso pelo LVM, você pode remover a legenda LVM com o comando pvremove. Executando o comando pvremove zerará os metadados do LVM em um volume físico vazio.

    Se um volume físico que você queira remover é atualmente parte de um grupo de volumes, você deve remove-lo do grupo de volume com o comado vgreduce, como descrito na Seção 4.3.6, “Removendo Volumes Físicos de um Grupo de Volume”.


    # pvremove /dev/ram15

      Labels on physical volume "/dev/ram15" successfully wiped


ID
1055680
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Sistemas Operacionais
Assuntos

Considere que, ao instalar um servidor Linux Red Hat ES6, um administrador de rede tenha optado por usar LVM (logical volume management) em seu ambiente. Com base nessa situação, julgue os itens que se seguem.

É recomendado que a partição /boot esteja fora de um logical volume group, visto que o boot loader não é capaz de fazer sua leitura.

Alternativas
Comentários

  • "Os volumes físicos são combinados em grupos de volume lógico, com exceção da partição /boot/. A partição /boot/ não pode estar em um grupo de volume lógico porque o gestor de início não pode acessá-lo. Se a partição root / estiver em um volume lógico, crie uma partição /boot/ separada, que não seja parte de um grupo de volume."


    Fonte: http://web.mit.edu/rhel-doc/3/rhel-sag-pt_br-3/ch-lvm-intro.html

  • Na época em que se usada o gerenciador de boot LILO, isso não era possível!.
    Ao utillizar o GRUB, é possível fazer a leitura dessa partição.

    .

    If you use LVM for your /boot, make sure that the lvm module is preloaded:

    /etc/default/grub

    GRUB_PRELOAD_MODULES="lvm"

    Fonte: https://wiki.archlinux.org/index.php/GRUB

  • Nishimura perdeu aqui

  • Nishimura falhou aqui :(

    Ou não? a questão está desatualizada pessoal?

ID
1055683
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Sistemas Operacionais
Assuntos

Considere que, ao instalar um servidor Linux Red Hat ES6, um administrador de rede tenha optado por usar LVM (logical volume management) em seu ambiente. Com base nessa situação, julgue os itens que se seguem.

Os volume groups podem ser divididos em volumes lógicos. Pontos de montagem podem ser atribuídos a volumes lógicos e ter o sistema de arquivo ext3.

Alternativas
Comentários
ID
1055686
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Sistemas Operacionais
Assuntos

Acerca de ambientes virtuais com VMWare, suas capacidades e limitações, julgue os próximos itens.

O hardware virtualizado pelo VMWare utiliza dispositivos proprietários que dependem de determinadas características. O VMWare suporta virtualização de discos SATA e SCSI para os sistemas operacionais virtualizados.

Alternativas
Comentários

  • Errado. O VMWare suporta vários modelos de hardware, e não tem essa dependência de dispositivos proprietários. Pode-se virtualizar desde hardware simples de desktop até hardware robusto e redundante de servidores.

  • A afirmação da primeira frase não tem ligação direta com a segunda em que é feita a afirmativa, pois entendo que são comentários independentes. Portanto questão CERTA! Coisas do CESPE :)

  • Dividindo a questão em 2 partes:

    O hardware virtualizado pelo VMWare utiliza dispositivos proprietários que dependem de determinadas características. 

    Como a primeira camada interaje com o hardware, o VMware fez muitos investimentos no desenvolvimento de drivers de dispositivos proprietários para dar suporte a diversos hardware de rede e de armazenamento disponíveis em servidores comerciais. Quando novos dispositivos de hardware são lançados, os drivers específicos do VMware precisam ser escritos para dar suporte a eles

    Fonte: http://www.slideshare.net/andrelbflor/xen-server-x-vm-ware#  (Pag. 3)


    O VMWare suporta virtualização de discos SATA e SCSI para os sistemas operacionais virtualizados.

    Execute seus aplicativos mais exigentes

    O VMware Workstation aproveita os tipos de hardware mais recentes para replicar ambientes de servidor, desktop e agora de tablets

    - Controladores de disco virtuais SCSI, SATA e IDE.

    http://www.vmware.com/br/products/workstation

  • Questão escrota do caralho...

  • Se tiver dúvida em questão sobre funcionalidades do VMware, chute C. A ferramenta faz até capuccino =P

  • DE ACORDO COM O GABARITO OFICIAL 

     

    GABARITO: C

  • Segundo o Professor Celson JR.,do Estratégia Concursos,"

    Correto, o hardware virtualizado pelo VMWare utiliza dispositivos proprietários que dependem de determinadas características. Como a
    primeira camada do VMWare interaje com o hardware, o VMware suporta diversos hardware de rede e de armazenamento disponíveis em
    servidores comerciais. Quando novos dispositivos de hardware são lançados, os drivers específicos do VMware precisam ser escritos para dar
    suporte a eles.     O VMWare atualmente suporta virtualização de discos SATA e SCSI para os sistemas operacionais virtualizados. Assertiva
    correta."

ID
1055689
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Sistemas Operacionais
Assuntos

Acerca de ambientes virtuais com VMWare, suas capacidades e limitações, julgue os próximos itens.

No processo de atualização do VMWare ESXi 5.1 para a versão 5.5 por meio do vCenter Single Sign-On, se a versão anterior possuir uma conta de administrador do ambiente em Active Directory, a conta será desativada por questões de segurança após o processo de atualização.

Alternativas
Comentários

  • Errado. Não há report sobre isto na base de conhecimentos do vmware, há sim outras possibilidades de falhas de autenticação, mas não por este motivo.


    http://kb.vmware.com/selfservice/microsites/searchEntry.do

ID
1055692
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Sistemas Operacionais
Assuntos

Acerca de ambientes virtuais com VMWare, suas capacidades e limitações, julgue os próximos itens.

Por questões de instalação e compatibilidade, o vCenter Server deve estar na mesma máquina física que o vCenter Single Sign-On.

Alternativas
Comentários

  • ERRADO.

    Segundo o professor Celson Jr. do Material do estratégia concursos,

    "Anteriormente a autenticação era feita pela integração do Active Directory e do vCenter Server. Agora, existe o vCenter Single Sign-On, um
    recurso do VMware vSphere que centraliza a autenticação. Com o vCenter Single Sign-On, é necessário criar um domínio de segurança definido para
    o vSphere. O servidor único Sign-On vCenter pode ser configurado com várias fontes, como o Active Directory ou OpenLDAP. Após a
    autenticação, o nome de usuário e senha são trocados por um token de segurança que é então utilizado para acessar os componentes do vSphere
    como vCenter Server, etc. Por questões de segurança, é recomendável que o vCenter Server esteja em uma máquina física diferente do vCenter Single Sign-On."

ID
1055695
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Sistemas Operacionais
Assuntos

Acerca de ambientes virtuais com VMWare, suas capacidades e limitações, julgue os próximos itens.

O VMWare ESXI 5.5 permite instalar um sistema operacional a partir da utilização de uma imagem do tipo ISO ou um CD/ROM do sistema operacional a ser virtualizado.

Alternativas
Comentários

  • Gabarito: Certo

    Com a Console do VMware vSphere, instalado em qualquer estação de trabalho Windows, podemos conectar no Servidor ESXi e usar imagens ISO ou o drive de DVD da estação para instalar sistemas operacionais no ambiente virtualizado.

ID
1055698
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca do uso e das características do OpenSSL 1.0.x relacionado a algoritmos suportados e funções, julgue os itens subsequentes.

O OpenSSL usa o padrão AES com chaves de 128, 192 e 256 bits.

Alternativas
Comentários

  • OpenSSL suporta um número de diferentes algoritmos de criptografia:

    Cifras
    AES, Blowfish, Camellia, SEED, CAST-128, DES, IDEA, RC2, RC4, RC5, Triple DES, GOST 28147-89 [8]

    __________________________________________________

    Para AES, NIST selecionou três membros da família Rijndael, cada uma com um tamanho de bloco de 128 bits, mas três diferentes comprimentos de chave: 128, 192 e 256 bits.
    __________________________________________________

    https://translate.google.com.br/translate?hl=pt-BR&sl=en&u=https://en.wikipedia.org/wiki/OpenSSL&prev=search
    https://translate.googleusercontent.com/translate_c?depth=1&hl=pt-BR&prev=search&rurl=translate.google.com.br&sl=en&u=https://en.wikipedia.org/wiki/Advanced_Encryption_Standard&usg=ALkJrhimqoKhe13ICbgUqD0l3xqHiJrFxA

ID
1055701
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca do uso e das características do OpenSSL 1.0.x relacionado a algoritmos suportados e funções, julgue os itens subsequentes.

O OpenSSL usa algoritmos de hash, como o SHA1 e MD5.

Alternativas
Comentários

  • OpenSSL suporta um número de diferentes algoritmos de criptografia:

    Cifras AES, Blowfish, Camellia, SEED, CAST-128, DES, IDEA, RC2, RC4, RC5, Triple DES, GOST 28147-89  Funções hash criptográficas MD5, MD4, MD2, SHA-1, SHA-2, RIPEMD-160, MDC-2, GOST R 34,11-94  Criptografia de chave pública RSA, DSA, Diffie-Hellman, curva elíptica, GOST R 34.10-2001 


    https://translate.google.com.br/translate?hl=pt-BR&sl=en&u=https://en.wikipedia.org/wiki/OpenSSL&prev=search

  • complementando... O OpenSSL é um kit de ferramentas robusto, de nível comercial e completo para os protocolos TLS (Transport Layer Security) e SSL (Secure Sockets Layer). É também uma biblioteca de criptografia de uso geral. 

     

    https://www.openssl.org/

ID
1055704
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca do uso e das características do OpenSSL 1.0.x relacionado a algoritmos suportados e funções, julgue os itens subsequentes.

O OpenSSL não suporta S/MIME, o qual é utilizado para assinar e cifrar mensagens de email.

Alternativas
Comentários

  • OpenSSL é uma biblioteca que implementa alguns protocolos, incluindo algumas versões de PKCS # 7 e CMS e S / MIME.



    https://translate.googleusercontent.com/translate_c?depth=1&hl=pt-BR&prev=search&rurl=translate.google.com.br&sl=en&u=http://security.stackexchange.com/questions/41399/openssl-pkcs7-vs-s-mime&usg=ALkJrhi7etNjFWk5l-o2MUAby6k1nQ6pqQ

ID
1055707
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

A respeito do gerenciamento de serviço de correio eletrônico com o uso de SMTP, julgue os itens subsequentes.

Caso o emissor da mensagem não envie nenhum comando ao servidor SMTP, servidores de correio eletrônico modernos com suporte ao SMTP implementarão técnicas de timeout.

Alternativas
Comentários

  • O protocolo SMTP cria uma conexão TCP, semelhante ao que faz o HTTP e fica trocando mensagens usando essa conexão TCP. Essa conexão é encerrada com o comando QUIT.

    Se durante a conexão TCP transcorrer um tempo default de 5 ou 10 minutos (a depender do valor default configurado), o servidor SMTP derruba automaticamente a conexão TCP.

     

    Gabarito: Certo

     

    Fonte: https://en.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol

ID
1055710
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

A respeito do gerenciamento de serviço de correio eletrônico com o uso de SMTP, julgue os itens subsequentes.

Ainda que uma mensagem de email com SMTP possua diversos destinatários, o comando RCPT é realizado no servidor de destino somente uma vez.

Alternativas
Comentários

  • Existindo multiplos destinatários, o comando RCPT é executado para cada um, seguido do comando "250 OK" para cada aceite do servidor.


    http://pt.kioskea.net/contents/282-os-protocolos-de-servico-de-mensagens-smtp-pop3-e-imap4

    http://www.ietf.org/rfc/rfc2821.txt

  • https://technet.microsoft.com/en-us/magazine/2005.11.howitworkssmtp.aspx

  • Os Principais comandos do SMTP

    HELLO - IDENTIFICA O EMISSOR EM UMA SESSÃO.

    MAIL - INICIALIZA O ENVIO DE MENSAGEM

    RCPT -  DEFINE O DESTINATÁRIO, DEVE SER EXECUTADO PARA CADA DESTINATÁRIO EM UM ENVIO PARA MÚLTIPLOS DESTINOS.

    DATA - INDICA O INÍCIO DO CORPO DA MENSAGEM

    QUIT - REQUISITA O TÉRMINO DA SESSÃO.

    Gabarito: Errado

  • Se o servidor de envio de mensagens tiver várias mensagens para enviar para o mesmo servidor de correio de recebimento, ele poderá enviar todas as mensagens pela mesma conexão TCP. Para cada mensagem, o cliente inicia o processo com um novo MAIL FROM: [seguido por RCPT TO: ], designa o fim da mensagem com um "ponto isolado" e emite QUIT somente após todas as mensagens terem sido enviadas."

    Redes de computadores e a Internet - uma abordagem top-down 6ª Ed. - Kurose

     

     

ID
1055713
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Redes de Computadores
Assuntos

A respeito do gerenciamento de serviço de correio eletrônico com o uso de SMTP, julgue os itens subsequentes.

O uso de Open Relay para configurar servidores de email ligados à Internet é considerado má prática administrativa. Normalmente, esse tipo de servidor é passível de ser inscrito em listas negras na Internet.

Alternativas
Comentários

  • Por permitir processar um e-mail onde o remetente não é usuário do servidor em questão, este tipo de configuração é muito utilizada por spammers para enviar seus e-mails indiscriminadamente.

  • Gabarito Certo

    Open Relay é um método de atuação de servidores de correio eletrônico.

    Os servidores de correio eletrônico são classificados como Open Relay quando ele processa um e-mail onde o remetente e o destinatário não são usuários do servidor em questão.

    Antigamente, servidores de correio eletrônico que permitiam open relay eram muito usados na Internet. Alguns sistemas UNIX vinham com servidores open relay por default. Atualmente, estes servidores constituem uma ameaça à rede, pois são utilizados pelos spammers para enviar seus e-mails indiscriminadamente.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Um open mail relay é um   (Protocolo de Transferência de Correio Simples) configurado de tal forma que permite que qualquer pessoa na  envie  através dele , não apenas mensagens destinadas a ou provenientes de usuários conhecidos.

ID
1055716
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de criptografias simétrica e assimétrica em uma sessão TLS, julgue os itens subsecutivos.

O RC4 é um algoritmo simétrico suportado tanto no TLS 1.2 quanto no SSL 3.0.

Alternativas
Comentários

  • Amigos não encontrei informações a respeito das versões do TLS e do SSL. Quem encontrar posta aí. Mas encontrei o seguinte.

    Segundo Stallings(2008,p.133),"O RC4 é usado nos padrões SSL/TLS (Secure Sockets Layer/Transporte Layer Security),definidos para a comunicação entre navegadores Web e servidores."

    Bibliografia:

    CRIPTOGRAFIA E SEGURANÇA DE REDES-4 EDIÇÃO 2008-WILLIAM STALLINGS

  • RFC 7465 a partir de fevereiro de 2015 é proibido utilizar TLS com RC4.

  • Como a prova é de 2013, então não havia impedimentos com relação ao RC4. A RFC 5246 - The Transport Layer Security (TLS) Protocol Version 1.2, de 2008 previa a utilização do RC4.


    TLS_RSA_WITH_RC4_128_MD5 RSA RC4_128 MD5 


    TLS_RSA_WITH_RC4_128_SHA RSA RC4_128 SHA

  • Apesar de na época a questão ter sido considerada correta, atualmente o TLS

    está na versão 1.3 (RFC8446 de 2018) e entre os algoritmos descontinuados

    nessa versão estão: RC4 Steam Cipher, RSA Key Transport, SHA-1 Hash

    Function, CBC Mode Ciphers, MD5 Algorithm, vários grupos Diffie-Hellman,

    EXPORT-strength ciphers, DES e 3DES.

    Gabarito: Certo.

  • Certo.

    O RC4 é considerado um algoritmo de chave simétrica de cifra de fluxo ("stream cypher") pelo fato de o processo de encriptação e decriptação serem independentes do tamanho da mensagem de entrada.

    Obs.: Não vou entrar no mérito das versões mencionadas na questão, isso os colegas já explicaram bem.

    Fonte:https://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2011_2/rodrigo_paim/wep.html

  • Algoritmo RC4 → é uma cifra de fluxo com tamanho de chave variado e orientada a byte. 

    Protocolos que usam RC4: SSL/TLS, WEP e WPA 2.

ID
1055719
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de criptografias simétrica e assimétrica em uma sessão TLS, julgue os itens subsecutivos.

No TLS 1.2, a função SHA-256 foi substituída pelo MD5-SHA-1.

Alternativas
Comentários

  • A Microsoft implementa o protocolo SSL e o protocolo TLS usando o pacote de autenticação Schannel (schannel.dll). Para Windows 7 e Windows Server 2008 R2, TLS foi aprimorado para a versão 1.2 a fim de permitir:

    Negociação de hash. O cliente e o servidor podem negociar qualquer algoritmo de hash para ser usado como recurso interno. O par de codificação MD5/SHA-1 foi substituído por SHA-256.

    http://technet.microsoft.com/pt-br/library/dd560644(v=ws.10).aspx

  • SHA-256 é mais forte que MD5, não faria sentido algum retroagir para menos segurança.

  • Função hash é usada para resolver o princípio da criptografia, garantindo que a mensagem não foi alterada durante a transmissão. Mesmo que alguém modifique uma pequena parte (uma letra) dos dados de entrada, o hash mudará drasticamente.

    Message Digest (MD) - A função MD5 tem 128bits, foi criada em 1991 e foi muito utilizada no mundo de software para garantir a integridade de arquivos. Por exemplo, um servidor pode prover um valor hash MD5 de um arquivo já pré-calculado para o usuário possa comparar quando tiver realizado o download dele. Em 2004 foram achadas vulnerabilidades nesse algoritmo e ele não é mais recomendado.

    Secure Hash Function (SHA) - SHA-3 tem versões de até 512bits de saída, ou seja, tem tamanho variável nas saídas (de 224 a 512bits). O SHA-3 veio para substituir seus antecessores (SHA-1 e SHA-2) e foi declarado o vencedor em 2012.

    Portanto, a função SHA não foi substituída e sim substituiu e a função MD5

    Dica pra quem não conhece do assunto: quanto maior o número de bits, mais segura será a criptografia

    fonte: meu resumo tirado de vários locais

ID
1055722
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Sistemas Operacionais
Assuntos

Cloud computing é um termo atual e amplamente discutido em ambientes de tecnologia da informação. A respeito desse assunto, julgue os itens a seguir.

Na infraestrutura como serviço (IaaS), os provedores podem oferecer infraestrutura física ou virtualizada aos clientes, a depender da situação.

Alternativas
Comentários

  • Oferece infraestrutura física? N'ao entendi.

  • Não é "terceirizar" o servidor? Não é em nuvem? Porque diabos vai se tornar físico se vai está na nuvem sempre

  • Correto. No IaaS as organizações recebem potência computacional, armazenamento (ou seja, infraestrutura computacional física e virtual) e outros serviços de infraestrutura sob demanda. São oferecidos servidores físicos ou virtuais.

  • Você pode ter seu próprio servidor utilizando a infraestrutura como serviço, tipo comodato.

  • Tipologia do cloud computing?

    Atualmente, a computação em nuvem é dividida em seis tipos:

    • IaaS - Infrastructure as a Service ou Infra-estrutura como Serviço: quando se utiliza uma porcentagem de um servidor, geralmente com configuração que se adeque à sua necessidade.
    • PaaS - Plataform as a Service ou Plataforma como Serviço: utilizando-se apenas uma plataforma como um banco de dados, um web-service, etc. (p.ex.: Windows Azure).
    • DaaS - Development as a Service ou Desenvolvimento como Serviço: as ferramentas de desenvolvimento tomam forma no cloud computing como ferramentas compartilhadas, ferramentas de desenvolvimento web-based e serviços baseados em mashup.
    • SaaS - Software as a Service ou Software como Serviço: uso de um software em regime de utilização web (p.ex.: Google Docs, Microsoft SharePoint Online).
    • CaaS - Communication as a Service ou Comunicação como Serviço: uso de uma solução de Comunicação Unificada hospedada em Data Center do provedor ou fabricante (p.ex.: Microsoft Lync).
    • EaaS - Everything as a Service ou Tudo como Serviço: quando se utiliza tudo, infraestrurura, plataformas, software, suporte, enfim, o que envolve T.I.C. (Tecnologia da Informação e Comunicação) como um Serviço.

  • Rodrigo, Gerson, a infra-estrutura física ou virtual é útil quando você não tem dinheiro para bancar a prória infra-estrutura e se torna mais viável delegar a utilização (por meio da nuvem) dessa infra-estrutura a uma empresa especializada. Tal empresa existe e é útil porque ela fez um investimento de tal forma que torna barato para o cliente utilizar de seus serviços e ela consiga ainda lucrar com isso.

  • Não entendi como o fornecimento de uma infra-estrutura física pode ser considerada uma virtualização (IaaS).

  •  

    Segundo Aragon(2014,p.549),"Infraestrutura como um serviço (IaaS): capacidade de fornecer processamento, armazenamento, redes e outros recursos fundamentais de computação, oferecendo ao cliente a possibilidade de implantar e executar software em geral, que pode incluir sistemas operacionais e aplicativos de sua propriedade. O cliente não gerencia ou controla a infraestrutura, mas tem controle sobre os sistemas operacionais, gerenciamento do armazenamento e sobre as aplicações e possivelmente controle limitado sobre certos componentes da rede como firewalls."

     

    IMPLANTANDO A GOVERNANÇA DE TI-ARAGON-2014-4 EDIÇÃO

  • Olha, claro que se estamos falando de Infraestrutura, estamos falando de algo físico rs...Oras, mas um dos conceitos basais de cloud computing é o conceito de pool de recursos. E como poderíamos oferecer um pool de recursos e fazer uma economia de escala, se a infra que oferecemos ao cliente é física e não virtualizada, ou seja, cada cliente terá um servidor e um HD só pra ele no Google Drive?

    Achei que a questão estava abordando isso...

  • IaaS pode oferecer toda a infraestrutura física e lógica.

    Gabarito: C

  • PROFESSOR DIEGO CARVALHO (ESTRATÉGIA):

    Questão um pouco complexa! Galera, em regra, IaaS oferece infraestrutura virtualizada aos clientes, isto é, você tem acesso à processamento, memória, armazenamento virtuais. No entanto, é possível também oferecer infraestrutura física, isto é, você leva os seus próprios equipamentos para o ambiente físico de um Data Center de outra fornecedor de IaaS, que aloja fisicamente seus equipamentos oferecendo alguns outros recursos como espaço, energia, refrigeração, segurança, entre outros. 

  • Pior comentário do professor.

    Se for pra ter um comentário desse, melhor nem ter!

  • Gabarito comentado aqui no QC

    Autor: Fernando Nishimura, Professor de Informática, de Noções de Informática, Arquitetura

    Correto. Na computação nas nuvens, os serviços básicos oferecidos são: PaaS (Plataforma), IaaS (Infraestrutura), SaaS (Softwares)

    É pra esse professor que um bando de mongolão fica rasgando ceda???Não estudo pelo material dele nem se for de graça! Se eu sentar no teclado e arrastar meu cool sai uma explicação melhor e menos preguiçosa! Esse professor é oriental da Deep Web!

    ________________________________________________________________________________________________________________

    Agora segue um comentário do Diego Carvalho do Estratégia concursos, o melhor professor de informática em PDF, e o melhor não tem preguiça de comentar.

    Questão um pouco complexa! Galera, em regra, IaaS oferece infraestrutura virtualizada aos

    clientes, isto é, você tem acesso à processamento, memória, armazenamento virtuais. No entanto,

    é possível também oferecer infraestrutura física, isto é, você leva os seus próprios equipamentos

    para o ambiente físico de um Data Center de outra fornecedor de IaaS, que aloja fisicamente seus

    equipamentos oferecendo alguns outros recursos como espaço, energia, refrigeração, segurança,

    entre outros.

  • MUITO BOM O COMENTÁRIO DO PROFESSOR DIEGO CAR@LHO.

  • Extremamente esclarecedor o comentário desse prof niximura --'

  • Comentários do prof. Diego do Estratégia (@professordiegocarvalho):

    Questão um pouco complexa! Galera, em regra, IaaS oferece infraestrutura virtualizada aos clientes, isto é, você tem acesso à processamento, memória, armazenamento virtuais. No entanto, é possível também oferecer infraestrutura física, isto é, você leva os seus próprios equipamentos para o ambiente físico de um Data Center de outra fornecedor de IaaS, que aloja fisicamente seus 78 98 equipamentos oferecendo alguns outros recursos como espaço, energia, refrigeração, segurança, entre outros.

    Gabarito: Correto

  • Trata-se de uma questão sobre computação em nuvem.

    O comando da questão afirma que no IaaS, os provedores podem oferecer infraestrutura física ou virtualizada aos clientes, a depender da situação.

    Pessoal, a questão está certa, apesar de um pouco mal escrita. O IaaS é a forma, dentro da computação em nuvem, de se oferecer infraestrutura como um serviço, ou seja, ao invés de investir na compra de servidores, racks, equipamentos, etc, você contrata o IaaS. A questão é, dentro do provedor, ele pode lhe oferecer isso com com servidores virtualizados ou servidores físicos dedicados exclusivamente ao seu case, a depender de cada situação e de cada contratação.


    Gabarito do Professor : Correto

  • c-

    Cloud computing is the delivery of computing services over the internet by using a pay-as-you-go pricing model. You typically pay only for the cloud services you use, which helps you:

       Lower your operating costs.

       Run your infrastructure more efficiently.

       Scale as your business needs change.

    To put it another way, cloud computing is a way to rent compute power and storage from someone else's datacenter. You can treat cloud resources like you would resources in your own datacenter. When you're done using them, you give them back. You're billed only for what you use.

    Instead of maintaining CPUs and storage in your datacenter, you rent them for the time that you need them. The cloud provider takes care of maintaining the underlying infrastructure for you. The cloud enables you to quickly solve your toughest business challenges, and bring cutting-edge solutions to your users.

    https://docs.microsoft.com/en-us/learn/modules/intro-to-azure-fundamentals/what-is-cloud-computing

ID
1055725
Banca
CESPE / CEBRASPE
Órgão
STF
Ano
2013
Provas
Disciplina
Sistemas Operacionais
Assuntos

Cloud computing é um termo atual e amplamente discutido em ambientes de tecnologia da informação. A respeito desse assunto, julgue os itens a seguir.

No modelo de plataforma como serviços (PaaS), os provedores de serviço oferecem banco de dados e servidores de aplicação. No caso de ferramentas de desenvolvimento, o único modelo funcional é o de software como serviço (SaaS).

Alternativas
Comentários

  • Modelos de Serviços

    Software as a Service (SaaS)

    – Aplicações de interesse dos usuários passam a ser hospedadas na nuvem como alternativa ao processamento local;

    – No máximo, paga-se um valor periódico - como se fosse uma assinatura - somente pelos recursos utilizados e/ou pelo tempo de uso;

    – Acesso às aplicações oferecidas através do browser;

    – Controle da infra e da plataforma é feita pelo provedor, usuário não interfere;

    – Troca do modelo de software baseado em venda de licenças (CAPEX - Capital Expenditure - Investimento em bens de capital) por um modelo baseado no uso como um serviço (OPEX -Operational Expenditure - manutenção ou melhoria de bens de capital). Por exemplo: web Google Docs e Microsoft SharePoint Online.

    Resumo: software + dados associados nas nuvens.

    Platform as a Service (PaaS)

    – Oferecida para o desenvolvedor de aplicações que serão executadas e disponibilizadas nas nuvens;

    – Provedor oferece a plataforma de desenvolvimento;

    – Computação, armazenamento e comunicação para as aplicações. Por exemplo: Windows Azure.

    Resumo: Entrega de um ambiente de computação

    Infrastructure as a Service (IaaS)

    – Infraestrutura de processamento e armazenamento;

    – Usuário não controla a infraestrutura física, mas através da virtualização controla SOs, armazenamento, aplicações instaladas e algum controle sobre recursos da rede;

    Resumo: Entrega de infraestrutura de servidores, sistemas de rede, armazenamento.

    Corrigindo a questão...

    No modelo de plataforma como serviços (IaaS), os provedores de serviço oferecem banco de dados e servidores de aplicação. No caso de ferramentas de desenvolvimento, o único modelo funcional é o de software como serviço (PaaS).

    Fonte: Prof. Gustavo Villar

  • Gabarito Errado

    A PaaS disponibiliza uma plataforma que pode ser usada para a criação de diversos tipos de aplicação, não se restringindo apenas aos desenvolvimentos de SaaS.

  • talvez vc ia até errar, mas aí o cespe bota dois conceitos na frase, o que deixa a chance de estarem invertidos MUITO grande.

    ou seja, uma mãe

  • Falou desenvolvimento de aplicações. > PaaS sem medo.