Muitas vezes os funcionários têm permissão para usar telefone e internet para fins particulares, desde que o trabalho na empresa não seja prejudicado com isto. Em muitas organizações, é usual o empregador monitorar o que os funcionários fazem na internet, observando que tipos de sites eles acessam, mensagens trocadas por emails, etc. Sob quais condições o empregador pode fazer este
tipo de monitoramento? O empregador jamais pode fazer isso é um abuso de autoridade O empregador somente pode fazer isso se existir uma firewall corporativa O empregador pode fazer isso se existir um código de conduta acordado com os funcionários e estes estejam cientes de que pode ocorrer este monitoramento; ainda assim, a legislação local sobre o assunto deve ser observada Cada vez que o empregador for fazer isso é necessário pedir autorização para o funcionário.
A avaliação de riscos é usada para mapear os riscos que uma organização enfrenta. Um risco de dano ou possível perda de informação é determinado por uma série de fatores. Para identificar estes riscos a organização deve levantar todas as ameaças que têm potencial de causar danos. Qual é a relação entre ameaça e risco? O risco é a probabilidade de uma ameaça ocorrer e suas respectivas consequências A ameaça é a probabilidade do risco se materializar e suas respectivas consequências.
O gerente de marketing tem o hábito de sair da sua sala e deixar vários relatórios sobre a mesa. Nesta situação, corre-se o risco de alguém passar pela sala e ler estes documentos. Qual é a consequência principal em relação à confiabilidade destas informações deixadas sobre a mesa? A integridade das informações não pode ser mantida A disponibilidade das informações não pode ser mantida A confidencialidade das informações não pode ser mantida.
Pessoas podem provocar danos à informação de forma involuntária. Qual das seguintes NÃO seria uma ameaça humana não intencional? Usuário pressiona o botão DELETE e descuidadamente confirma com o ENTER Usuário usa um pen drive sem saber que este contém um vírus que infectará o sistema da empresa Uso do extintor de incêndio para apagar um pequeno incêndio e consequentemente destruição do servidor Engenharia social.
Quais são os três requisitos de qualidade para uma informação se tornar confiável? Disponibilidade, integridade e exatidão Disponibilidade, integridade e confidencialidade Disponibilidade, correção e integridade.
Você é dono de um provedor de internet. Você está conduzindo uma avaliação de riscos e determinou que para alguns riscos com baixa probabilidade e baixo impacto você não irá implementar nenhuma medida preventiva. Nesta situação, que tipo de estratégia você está tomando para os riscos irrelevantes? Neutralizar (ou reduzir) o risco Aceitar (ou suportar) o risco Evitar o risco.
Você acabou de pressionar o botão DELETE e confirmou sem querer a exclusão de vários emails do servidor da empresa. Você decide contatar o helpdesk para que seja restaurado o último backup a fim recuperar estas mensagens. Que tipo de medida será tomada neste caso? Corretiva Preventiva Detectiva Redutiva.
Você observa que na sua empresa há alguns visitantes que aparecem no seu departamento sem serem anunciados pela portaria. Que tipo de medida deve ser implementada para evitar este tipo de situação? Medida de segurança física Medida de segurança organizacional Medida de segurança técnica.
Qual das seguintes NÃO é uma medida de segurança física? Instalar câmeras de vigilância nos corredores da empresa Instalar equipamentos de climatização na sala dos servidores Isolar cabos de telefonia e dados Validar dados de entrada e saída nos aplicativos de TI.
Qual das seguintes descreve o objetivo de se ter uma política de segurança para a organização? Fornecer direção e suportar a segurança da informação na organização Documentar o processo de tratamento de incidentes de segurança da informação Estabelecer a segregação de funções na área de TI Listar todos os riscos aos quais a organização está exposta.
A avaliação de riscos é uma etapa no Gerenciamento de Riscos. Qual das opções abaixo melhor descreve o propósito da avaliação de riscos? É um método de mapeamento de riscos que somente considera riscos técnicos Ajuda a esclarecer quais ameaças são relevantes para os processos operacionais da empresa e identifica riscos associados; a partir disso, medidas de segurança podem ser determinadas É um método para calcular o preço do seguro que a organização deverá pagar.
Segurança física inclui também a proteção de equipamentos por meio de controle de climatização. Qual das seguintes ameaças pode ocorrer se não houver uma climatização adequada na sala dos servidores? Hackers podem invadir facilmente os servidores A impressora no departamento de marketing pode parar de funcionar A confidencialidade das informações pode ficar comprometida O servidor pode se desligar devido ao superaquecimento.
A classificação das informações é uma das responsabilidades do proprietário da informação.
Qual das opções é um objetivo da classificação de informações em relação à segurança da
informação? As informações são classificadas para tornar possível o estabelecimento de seus níveis de segurança As informações são classificadas para tornar possível seu arquivamento no banco de dados A partir da classificação das informações será possível desenvolver um aplicativo de gerenciamento de documentos.
Recentemente você instalou alarmes sonoros que disparam quando há qualquer movimento no ambiente em sua empresa. Devido a várias ocorrências de alarme falso, você decide instalar também uma câmera escondida. Que tipo de medida de segurança está sendo tomada? Detectiva Preventiva Corretiva Repressiva.
Escândalos como o da empresa Enron e fraudes diversas que resultaram na perda de milhões de dólares fizeram com o que os Estados Unidos tomassem medidas de segurança muito rigorosas para as empresas que negociam ações na bolsa de valores norteamericana.
A que lei uma empresa brasileira precisa atender caso venha a negociar suas ações em uma bolsa de valores norte-americana?
Ato de títulos públicos Lei de impostos européia Lei SarbanesOxley Regulamentos de segurança do governo americano.
Você chega para trabalhar na empresa e uma pasta sua que continha vários projetos importantes desapareceu. Você sabe que você foi o último a sair da sala ontem. Quando você deve reportar este incidente de segurança da informação? Imediatamente Depois de investigar por conta própria e esconder o fato para não deixar seu gerente
preocupado Depois de alguns dias, pois pode ser que a pasta reapareça Não reportar este incidente, pois você tem uma cópia destes projetos.
Muitas organizações precisam atender à legislação em relação à proteção de dados pessoais, incluindo dados cadastrais de clientes. Qual seria uma boa maneira da organização garantir que toda a legislação e regulamentos relevantes estão sendo cumpridos? Apontar uma pessoa na organização que será responsável especificamente por determinados regulamentos Apenas seguir as recomendações da ISO 27002 Adquirir um software de gerenciamento de informações compatível com leis e regulamentos.
Um funcionário do departamento de TI foi demitido, e como ele sabia a senha do FTP do website da empresa, resolveu dias depois excluir todos os arquivos no servidor. Como é conhecido este tipo de ameaça? Ameaça humana não intencional Ameaça humana intencional Engenharia social Ameaça não humana.
Qual das seguintes é um exemplo de medida de segurança física? Para entrar na empresa todos os funcionários precisam apresentar crachá na portaria O acesso ao sistema corporativo via internet exige um certificado digital Documentos confidenciais não podem ser impressos em impressoras compartilhadas.
A organização deve tomar medidas para assegurar que informações confidenciais não caiam nas mãos de pessoas erradas. Qual das medidas abaixo é mais efetiva para manter a confidencialidade de documentos? Instalar detecção por infravermelho Manter a mesa limpa enquanto estiver fora (política de mesa limpa) Controlar o acesso ao prédio por meio de crachás magnéticos.
De que forma podemos classificar a conscientização de funcionários e divulgação da segurança da informação na organização? Medida física Medida organizacional Medida técnica.
Você precisa conduzir uma análise de riscos na sua empresa para determinar quais medidas terão que ser tomadas. Existem dois tipos de análise que podem ser feitas: qualitativa e quantitativa. De que consiste a análise qualitativa de riscos? Ela tem como objetivo calcular, baseandose no impacto do risco, o nível do prejuízo financeiro e a probabilidade de uma ameaça se tornar um incidente É baseada em cenários e situações; nesta abordagem, as chances de uma ameaça se tornar realidade são examinadas com base em uma visão subjetiva.
Uso de firewall é uma das medidas que podem ser tomadas para prevenir acesso eletrônico não autorizado à rede de computadores da empresa. Se o software do firewall não for atualizado frequentemente, qual é o MAIOR risco que existe? Podem haver brechas de segurança que poderão permitir a hackers acessarem a rede O servidor onde está instalado o firewall pode parar de funcionar Corre-se o risco de receber emails não desejados (spam) O firewall pode parar de funcionar.
Medidas preventivas têm como foco prevenir incidentes de segurança da informação. Além de medidas preventivas, quais outros tipos de medidas existem? Redutivas, detectivas, repressivas e corretivas Parciais, adaptativas e corretivas Repressivas, adaptativas e corretivas.
A avaliação de riscos produz uma lista de ameaças e suas importâncias relativas. O próximo passo é analisar cada ameaça séria e identificar uma ou mais medidas para reduzir as ameaças. Para as ameaças irrelevantes a organização pode considerar não tomar medidas preventivas. Entretanto, há medidas que são obrigatórias (a organização não tem escolha). Quais são estas medidas? Instalar um firewall Instalar controle de acesso na portaria Medidas para atender a leis e regulamentos Controles de segurança estabelecidos na norma ISO 27001.
Gerenciamento de acesso lógico visa à concessão de acesso à informação digital e serviços de informação a pessoas autorizadas, bem como impedir que pessoas não autorizadas tenham acesso a essa informação digital ou serviço. Que tipo de gerenciamento de controle de acesso é centralizado e determina a quais sistemas as pessoas têm a acesso ou quais pastas na rede cada pessoa pode acessar? Controle de acesso mandatório (MAC) Controle de acesso discricionário (DAC) Infraestrutura de chave pública (PKI).
Qual das opções abaixo melhor descreve o que é um código de conduta? É uma norma que especifica como os funcionários devem se comportar, e este padrão é igual
em todas as empresas É uma legislação nacional que as empresas precisam observar É um documento que estipula direitos e deveres do empregador e dos funcionários, estabelece regras de comportamento em relação ao uso de recursos de TI e este código difere de empresa para empresa.
O que um código de conduta pode estabelecer? Que emails particulares não são permitidos a partir das contas de email da empresa Segregação de funções, estabelecendo atribuições e responsabilidades que o funcionário exerce no departamento Medidas de segurança técnicas que serão implementadas pelo departamento de TI.
Uma empresa adotou um sistema de criptografia simétrica. Uma característica deste sistema é que o algoritmo e a chave secreta que o remetente e o destinatário compartilham são os mesmos. Qual é o risco deste tipo de criptografia? Se a chave secreta se tornar conhecida, uma nova chave secreta deve ser fornecida para todos os computadores Se a infraestrutura de chave pública se tornar conhecida, uma nova chave secreta precisa ser fornecida para todos os computadores Se a chave pública se tornar conhecida, uma nova chave secreta precisa ser fornecida para todos os computadores.
Determinar que alguma coisa errada aconteceu pode não ser o suficiente. Quando algo errado acontece, um incidente ocorre e a única coisa a fazer é minimizar as suas consequências. Este é o foco das medidas repressivas. Em caso de incêndio, qual das seguintes é uma medida repressiva? Contratar um seguro contra incêndio Apagar o incêndio depois que foi detectado pelo detector de fumaça Reparar o estrago causado pelo incêndio Instalar um detector de fumaça.
As medidas que a organização toma para tratar os riscos precisam estar alinhadas aos objetivos de segurança da informação, e estes objetivos precisam suportar os objetivos de negócio da organização. Qual é o nome do sistema que garante a segurança da informação coerente para a organização? Sistema de Gestão da Segurança da Informação (SGSI) Sistema de Gerenciamento de Riscos Sistema de Gerenciamento da Qualidade (SGQ) Sistema de Gerenciamento da Configuração (SGC).
Na concessão de acesso, há um distinção entre os termos identificação, autenticação e autorização. Identificação é o primeiro passo no processo de concessão de acesso. O que acontece neste passo? O sistema determina se um token é autêntico O sistema verifica quais recursos o usuário pode acessar O sistema aloca as autorizações para o usuário A pessoa ou o sistema apresenta token, chave, usuário ou senha.
Você trabalha em uma instituição financeira e para atender a alguns regulamentos a organização precisa implementar medidas de segurança fortes para que determinadas ameaças não gerem incidentes. Qual o nome da estratégia de riscos que será escolhida neste caso? Evitar (ou prevenir) os riscos Aceitar (ou suportar) os riscos Neutralizar (ou reduzir) os riscos.
Se os documentos e informações usados na empresa passarem por uma classificação apropriada, estabelecendo o que é secreto, confidencial ou público, o que podemos garantir com isto? Será mais fácil implantar sistemas de informação para apoiar os processos operacionais da
empresa Os funcionários conseguirão observar o nível de sensibilidade das informações consultando a
etiqueta de classificação utilizada Relatórios podem ser desenvolvidos mais rápido e com menos erros Será possível determinar a vida útil de um documento.
Um funcionário cadastra um produto no website da empresa e acidentalmente digita o preço com erro. Como esta ameaça é classificada? Ameaça humana intencional Ameaça humana não intencional Engenharia social Ameaça não humana.
Qual a correta distinção entre dados e informação? Dados são informações estruturadas Informação é o significado e o valor atribuídos a uma coleção de dados Dados estão em forma de texto e informação em forma de imagem.
Você observa que na sua empresa os seus colegas costumam esquecer relatórios financeiros na bandeja da impressora que está no corredor principal. O que provavelmente pode acontecer se estes relatórios caírem nas mãos de pessoas erradas? A integridade da informação não será mais garantida A disponibilidade da informação não será mais garantida A confidencialidade da informação não será mais garantida A autenticidade da informação não será mais garantida.
Quando uma empresa utiliza softwares, o uso de material que possa estar sujeito a direitos de propriedade intelectual deve ser considerado. Qual das seguintes NÃO é uma orientação válida a ser considerada para proteger material com propriedade intelectual? Conscientizar os funcionários sobre a política para proteger direitos de propriedade intelectual Comprar apenas programas de computador de fornecedores conhecidos para garantir que nenhum direito de cópia seja infringido Quando softwares com código aberto (open source) são usados, a licença associada precisa ser respeitada e observada Funcionários podem fazer downloads de músicas em MP3 via internet livremente, pois isto não é algo com que a empresa precisa se preocupar.
Fazer backups ou cópias de reserva é uma forma de: Manter a integridade e a disponibilidade da informação Manter a autenticidade da informação Manter a confidencialidade da informação.
Qual o nome dado a um pequeno programa de computador que propositadamente se replica, e os resultados da replicação são cópias dos originais que se espalham para outros sistemas através da rede? Worm Spam Spyware Trojan.
|
