Encontramos muitos dados nos bancos gerenciados pela TI. No entanto, dados isolados não têm muito valor para o negócio. Eles têm valor quando são transformados em informação com significado. Como dados se transformam em informação? Por meio de análise de dados Por meio de backup Por meio de arquivamento em mídias Por meio de duplicação de dados.
Um funcionário da equipe de vendas envia por engano um documento contendo o catálogo de produtos que a empresa vai lançar daqui a 6 meses. Quem determina o valor das informações deste documento? Neste caso, cada uma das partes determina o valor das informações de forma independente A legislação sobre privacidade de dados de clientes O destinatário, que pode vender a informação para a concorrência O remetente, que somente poderia utilizar a informação internamente.
A confiabilidade da informação é determinada primariamente por três aspectos:
1. Confidencialidade
2. Integridade
3. ? Prestação de contas Autenticidade Individualidade Disponibilidade.
Você terceirizou o desenvolvimento de um aplicativo de negócio. Entretanto, você não quer que alguns dados da sua organização vazem para o mercado por meio deste fornecedor. Qual aspecto da confiabilidade das informações você quer proteger? Confidencialidade Integridade Disponibilidade Todos.
Você identifica na sua organização que muitos funcionários que são desligados da empresa continuam ainda com seus logins ativos e poderão acessar de casa informações confidenciais da empresa. Diante desta constatação, que característica do gerenciamento do risco está ausente? Vulnerabilidade Ameaça Controle de segurança (ou medida de segurança) Impacto no negócio.
Você está fazendo uma avaliação de riscos no data center da sua empresa. O data center fica retirado da cidade, entretanto a possibilidade de incêndio não está totalmente descartada. Qual das seguintes afirmativas é correta neste caso? O risco de fogo é a ameaça de fogo multiplicada pela probabilidade que o fogo aconteça e o impacto que isto terá A ameaça de fogo é o risco de fogo multiplicado pela probabilidade que o foco aconteça e o impacto que isto terá.
De que forma podemos descrever o que significa a expectativa de perda anual? É o total de danos que podem ocorrer relacionados a uma ameaça durante o ano É a média dos danos calculada pelas companhias de seguro do país É a média de todos os danos ocorridos durante o ano Nenhuma das alternativas anteriores.
Que tipo de ameaça humana se refere ao usuário excluir dados de um sistema pressionando a tecla DELETE e depois clicando OK sem querer? Ameaças humanas não intencionais Ameaças humanas intencionais Engenharia social Ameaças humanas de sistema.
Danos podem ocorrer em um incidente de segurança. Quais são os dois principais tipos de danos? Dano indireto e dano direto Prejuízo financeiro e prejuízo intangível Dano imediato e dano a longo prazo Dano tangível e dano intangível.
Você trabalha em um laboratório que lida com informações de natureza muito sensível. Dados dos exames de pacientes não podem ser acessados por qualquer pessoa. Por este fato, a alta gerência decidiu implementar medidas de segurança de alto nível. Como é chamada esta estratégia de risco? Reter o risco (também conhecida como aceitar o risco) Prevenir o risco (também conhecida como evitar o risco) Reduzir o risco (também conhecida como neutralizar o risco) Mitigar o risco (também conhecida como reduzir o risco).
O data center da sua empresa está em um prédio que não tem pararaios. Se um raio atingir a rede elétrica a sobrecarga certamente afetará o funcionamento dos servidores. Que tipo de ameaça existe nesta situação? Ameaça elétrica Ameaça ocasional Ameaça não humana Ameaça não intencional.
Um funcionário foi demitido e antes de sair apagou todos os arquivos do departamento que estavam em um diretório compartilhado na rede. Apesar da a empresa ter um backup, não foi possível restaurar a versão mais recente dos documentos. Como é chamado este tipo de ameaça? Ameaça humana intencional Ameaça humana não intencional Engenharia social Ameaça funcional.
Um funcionário pediu ao seu gerente um aumento de salário e este foi negado. Como maneira de se vingar, ele decidiu apagar vários dados de clientes no sistema ERP. Que tipo de ameaça temos neste caso? Engenharia social Ameaça humana Ameaça de sistemas Ameaça funcional.
Existem três tipos de estratégia de risco comuns. Além de reduzir e neutralizar o risco, qual outra existe? Aceitar (ou suportar) o risco Apagar o risco Assegurar o risco Transferir o risco.
Uma empresa permite que seus funcionários possam trabalhar remotamente. Qual característica da confiabilidade das informações está em risco se um funcionário perder um notebook durante o percurso do trabalho contendo vários documentos de trabalho até a sua casa? A integridade A disponibilidade A confidencialidade Há mais de uma alternativa correta.
As cópias de segurança (backups) são armazenadas em uma sala com controle de acesso físico. Além disto, também há um sistema de alarme contra intrusão e um contra incêndio (sprinklers). Qual destes é uma medida de detecção? Processo de backup Alarme contra intrusão Sistema contra incêndio (sprinklers) Porta com senha de acesso.
Todos os funcionários, quando admitidos na organização, devem ler e assinar um código de conduta. Para que serve este código? Para ajudar a evitar o uso indevido dos equipamentos (e instalações) de TI É uma obrigação legal trabalhista Para impedir a entrada de um hacker na organização Para orientar como reportar abuso no uso dos equipamentos de TI da organização.
Qual a finalidade de uma política de segurança da informação? Descrever como a TI criptografa os dados dos aplicativos Orientar sobre como a segurança da informação é configurada dentro de uma organização Garantir que os funcionários não violam nenhuma lei de privacidade de dados Demonstrar como funciona os processos de segurança dentro da TI.
O ciclo do incidente de segurança é composto de 4 etapas. Qual é a etapa que vem após a ameaça? Incidente Dano Recuperação Mitigação.
A empresa XPTO controla o acesso ao seu data center com um sistema de chave de acesso criptografada. Que tipo de medida de segurança é esta? Detectiva Repressiva Corretiva Preventiva.
Um sistema de detecção de intrusão (IDS) inspeciona todas as atividades de rede de entrada e de saída e identifica padrões suspeitos que podem indicar que alguém está tentando invadir uma rede ou comprometer um sistema. Qual seria um outro exemplo de medida detectiva? Fornecedor ininterrupto de energia Câmeras de segurança Extintor de incêndio Ar condicionado.
Qual dos seguintes é um exemplo de medida de segurança física? Controlar entradas de funcionários e visitantes e impor o uso de crachá visível Impedir a impressão de qualquer documento dentro da empresa Inspecionar todos os visitantes na saída Todas estas medidas são medidas de segurança física de áreas.
Qual anel de proteção protege o ativo de negócio mais sensível dentro da empresa? Prédio/construção Objeto Anel externo Espaço de trabalho.
Qual é a finalidade da classificação das informações? Determinar quais tipos de informações podem requerer diferentes níveis de proteção Atribuir informações a um proprietário Reduzir os riscos de erro humano Impedir o acesso não autorizado a informações.
Ao enviar um e-mail você quer que o destinatário possa confirmar que foi você mesmo quem o enviou. O que você deve anexar ao e-mail? Uma assinatura digital Um certificado de PKI Sua chave privada Sua chave pública.
Duas empresas decidem criar um mecanismo de criptografia para troca de informações entre elas. Primeiro, elas trocam por telefone a chave que será usada para criptografar e descriptografar os documentos. Que tipo de criptografia estas duas empresas estão utilizando? Criptografia simétrica Criptografia assimétrica Criptografia de mão única Criptografia particular.
Para que serve uma infraestrutura de chave pública (PKI)? Ela oferece garantias sobre a qual pessoa ou sistema pertence uma chave pública específica Ela garante que um website é seguro Ela garante que o backup está completo Ela garante que a mensagem foi criptografada e que poderá ser decodificada pelo destinatário.
Que tipo de malware coleta informações do usuário e envia para outra parte, podendo inclusive enviar senhas de banco e email? Bomba lógica Worm storm Cavalo de tróia Spyware.
Qual das seguintes não é uma medida organizacional? Criar uma política de segurança da informação Criar um manual do funcionário contendo um código de conduta e sanções caso o funcionário esteja em não conformidade com as políticas de segurança da informação Obter referências de uma pessoa no momento da contratação e confirmar identidade e diplomas Criptografar senhas de usuários no banco de dados.
Tarefas e responsabilidades devem ser separadas a fim de evitar a possibilidade de alterações não autorizadas ou não intencionais, ou o uso indevido de ativos da organização. Isto é conhecido como segregação (ou separação) de funções. O que NÃO é considerado um critério para determinar se a segregação de funções é aplicável a um funcionário? Em quais processos/atividades a pessoa toma decisões Em quais processos/atividades de controle a pessoa está envolvida Em quais locais dentro da empresa a pessoa circula Nenhuma destas alternativas é um critério para determinar se a segregação de funções é aplicável a um funcionário.
Na concessão de acesso é feita uma distinção entre identificação, autenticação e autorização. Para que é feita a autenticação? Para tornar identificação do usuário conhecida, o que significa que lhe será dado acesso ao sistema Para verificar o login do usuário contra a lista de usuários que têm acesso ao sistema Para determinar se o acesso pode ser concedido verificando se o token é autêntico Para dar ao usuário os direitos que ele precisa, tais como permissão para ler dados de uma tabela.
No processo de gestão de continuidade de negócio, os processos de negócio que são fundamentais para o funcionamento da organização devem ser identificados. Além de outras medidas que garantam a continuidade, a perda de informações que poderia resultar de um desastre natural ou de falta de energia elétrica devem ser evitados. Qual o objetivo principal de se produzir um plano de recuperação de desastres (PRD)? Identificar eventos que poderiam provocar um desastre Limitar os impactos/consequências em caso de ocorrência de um desastre Reduzir a probabilidade de ocorrência de um desastre Restaurar a situação ao seu estado anterior ao desastre.
O direito à privacidade de dados pessoal é uma área altamente desenvolvida do direito na Europa. Em outros países há variações. Qual abordagem adotaram os Estados Unidos nesta questão? Os EUA também são signatários da convenção europeia de direitos humanos A maioria dos setores econômicos dos EUA satisfazem as diretivas da União Européia Há uma lei abrangente que atende a todas necessidades de todos os setores É adotada uma abordagem setorial e podem ser criadas novas leis conforme necessário.
Uma empresa de e-commerce internacional quer garantir que está atendendo aos requisitos da legislação de proteção de dados pessoais estabelecida no país. Qual a primeira coisa que ela deve fazer para garantir a conformidade? Traduzir a legislação local em regras e procedimentos internos e criando uma política de privacidade em conformidade com a legislação local Responsabilizar todos na organização pelo controle de compartilhamento de dados pessoais
de clientes Treinar todo o pessoal administrativos em direito digital Criptografar dados de pessoais de clientes.
Qual das seguintes leis se aplica a todas as empresas, sejam elas americanas ou estrangeiras, que tenham ações registradas na SEC (Securities and Exchange Comission, o equivalente americano da CVM brasileira)? ISO/IEC 27001 Lei Sarbanes-Oxley (SOX) Direitos de propriedade intelectual Lei de proteção de dados pessoais.
O que é a autorização no processo de concessão de acessos? A determinação da identidade de uma pessoa O registro das ações realizadas A verificação da identidade de uma pessoa A concessão de direitos específicos, tais como o acesso seletivo, para uma pessoa.
Qual é o tipo de legislação que trata de práticas ilícita na rede, como invasões de sistema, disseminação de vírus, roubo de dados pessoais, falsidade ideológica, acesso a informações confidenciais e tantos outros? Legislação sobre crimes de informática Legislação de registros públicos Legislação de proteção de dados pessoais Legislação sobre direitos do consumidor.
Com base em qual legislação alguém pode pedir para inspecionar dados que tenham sido registrados? Lei de registros públicos Lei de proteção de dados pessoais Lei de crimes de informática Lei de acesso público à Informações do governo.
Na sua empresa estão desaparecendo laptops e outros equipamentos de TI. Você decide implantar uma medida investigativa. O que seria útil para isto? Instalar uma câmera escondida em cada sala Colocar um aviso no quadro de avisos pedindo que as pessoas não roubem equipamentos de TI Contratar um detetive particular Todas estas alternativas são úteis para a implantação de uma medida investigativa.
Uma empresa categoriza seus relatórios financeiros como confidenciais. O que acontece se todos os outros relatórios deste tipo receberem a mesma categorização? Os custos para produzir os relatórios irão diminuir Todos na organização saberão o quão sensíveis são os conteúdos destes relatórios ao consultar suas identificações de confidencialidade Os relatórios poderão ser produzidos em menor tempo e com menos erros Os relatórios serão impressos com prioridade.
|
