ISO 27002 (2)

INFO
STADISTICS
RECORDS
Title of test:
ISO 27002 (2)

Description:
Questões para certificação 27002

Author:
Thiago B
(Other tests from this author)

Creation Date:
22/12/2016

Category:
Computers
Click 'LIKE' to follow the bests test of daypo at facebook
Last comments
No comments about this test.
Content:
Uma empresa possui um sistema ERP para gestão de seus processos de negócio. Este sistema coleta milhares de dados que são salvos em um banco de dados. Quando um gerente recebe um relatório de faturamento mensal, o que este relatório contém? Dados Dados e informações Informações.
Um comprador enviou para o seu fornecedor dados do seu cartão de crédito para fazer o pagamento de uma fatura e no percurso estes dados foram capturados por um hacker. Quem determina o valor das informações do cartão de crédito? Cada uma das partes determina o valor das informações de forma independente A legislação sobre privacidade determina a pena e, portanto, o valor O destinatário, que pode usar os dados do cartão para fazer compras indevidas O remente, que poderá ter prejuízo financeiro com o vazamento destas informações.
Uma analista de PCP em uma fábrica precisa processar todo final do dia o cronograma de produção para encaminhar para o gerente de produção que o utilizará no dia seguinte. Quais aspectos de confiabilidade das informações deste cronograma são mais importantes nesta situação? Disponibilidade e confidencialidade Confidencialidade e integridade Continuidade e autenticidade Integridade e disponibilidade.
Quando um funcionário da área de contabilidade chega no trabalho quer acessar o sistema de automatizado de contabilidade e quer que as informações estejam disponíveis. Qual é a definição MAIS adequada para disponibilidade? O nível de capacidade do sistema é o suficiente para que vários usuários se conectem ao mesmo tempo O nível de continuidade é garantido caso aconteça algum evento de desastre O nível em que o sistema de informações está disponível para os usuários no momento em que eles precisam O tempo total de funcionamento de um sistema de informações está acessível na rede.
As contramedidas de segurança devem ser sempre ligadas aos resultados de uma avaliação de riscos e com base nos aspectos de confiabilidade e características de informação. Que tipo de contramedida visa a prevenir incidentes? Contramedidas preventivas Contramedidas redutoras Contramedidas investigativas Contramedidas repressivas.
Qual é o termo usado para designar a causa potencial de um incidente indesejado que pode resultar em danos a um sistema ou organização? Evento Ameaça Incidente Vulnerabilidade.
Em uma avaliação de riscos identificamos além da ameaça o agente da ameaça. De que forma definimos este agente da ameaça? A entidade que tira vantagem de uma vulnerabilidade Pessoas que roubam informações Danos causados pela ameaça.
Qual das seguintes opções a seguir é um exemplo de ameaça? Brechas de segurança de autenticação no portal Falta de certificado SSL na loja virtual Divulgação de dados pessoais de clientes por conta de um hacker ter invadido o sistema Antivírus desatualizado no servidor.
Danos resultantes da ocorrência das ameaças podem ser classificados em dois grupos. Quais são estes grupos? Danos graves e normais Danos diretos e indiretos Danos internos e externos Danos à clientes e danos â organização.
Qual das seguintes seria uma boa medida para evitar riscos? Instalar uma ferramenta de monitoramento de rede Ligar para o Help Desk para avisar de um incidente de disponibilidade Instalar atualizações do antivírus imediatamente, sempre que houver notificação do fabricante Apagar um incêndio.
O conceito de confidencialidade tenta impedir a divulgação intencional ou não intencional do conteúdo de uma mensagem. Qual dos seguintes é um exemplo de uma ameaça humana intencional? Um funcionário destrói dados após ser demitido Um funcionário esqueceu seu desktop desbloqueado durante o horário de intervalo Um funcionário clicou sobre um link suspeito a partir de um email de spam Um funcionário criou uma senha muito fraca para acessar a rede.
Um funcionário ao ser demitido coletou várias informações de clientes estratégicos para vender a um concorrente. De que forma podemos classificar esta ameaça? Ameaça humana não intencional Engenharia social Ameaça humana intencional.
Que tipo de ameaça tem como objetivo explorar a falta de conscientização de segurança dentro de uma organização? Ameaça humana intencional Ameaça humana não intencional Engenharia social.
Qual dos seguintes caracteriza a ausência ou fraqueza de uma proteção que pode ser explorada? Impacto Risco Agente ameaçador Vulnerabilidade.
Controles são contramedidas importantes para garantir a confiabilidade das informações. Qual dos seguintes NÃO é um exemplo de controle no tratamento de riscos? Aplicar os controles adequados para reduzir os riscos Aceitar conscientemente e objetivamente os riscos, desde que claramente satisfaça a política e critérios de aceitação de riscos da organização Transferir os riscos associados a outras partes, por exemplo, seguradoras ou fornecedores Determinar que a empresa tem uma política de neutralização de riscos.
As medidas de segurança devem ser sempre ligadas aos resultados de uma avaliação de riscos e com base nos aspectos de confiabilidade e características de informação. Quais tipos de medidas costumam ser tomadas após a ocorrência de um incidente? Prevenção e detecção Prevenção e recuperação Repressão e correção Investigação e repressão.
O objetivo de uma política que cubra o trabalho remoto (à distância) é garantir que os benefícios do mesmo possam ser alcançados sem indevidamente aumentar o risco para os ativos de informação da organização. O que não costuma fazer parte do escopo de uma política como essa? Provisão para equipamentos Segurança da informação para trabalho remoto Uso de equipamento para trabalho remoto Segregação de tarefas / responsabilidades.
Em relação à propriedade dos ativos, há um termo que não deve ser esquecido. É Traga o Seu Próprio Dispositivo (em inglês, Bring Your Own Device – BYOD), as empresas dão aos funcionários a possibilidade de utilizar seus próprios dispositivos para trabalhar dentro da organização. Ao adotar o BYOD, uma empresa deverá assegurar a segurança e propriedade dos dados da empresa dentro dos dispositivos pessoais. De que forma a empresa pode garantir isto? Permitindo que o funcionário apenas utilize um dispositivo de determinada marca Permitindo o uso de dispositivos que tiverem em conformidade com a política BYOD da empresa Não permitindo que os usuários mantenham dados pessoais em seus dispositivos.
Quando funcionários, contratados temporários e usuários externos dos sistemas e serviços de informação notam (ou suspeitam) que existem pontos fracos no sistema ou serviços, é importante que eles relatem essas deficiências o mais rápido possível. Qual é uma forte razão para que o incidente de segurança primeiro seja relatado e depois resolvido? Para garantir que nenhuma evidência seja destruída Para não agravar o impacto do incidente Para não custar mais caro a sua resolução.
Ao lidar com um incidente, o help desk pode fazer uma escalação hierárquica. Qual exemplo abaixo descreve uma escalação hierárquica? Encaminhar uma falha de segurança em um determinado aplicativo para o fornecedor do aplicativo Notificar o Gerente de Segurança da informação que há uma incoerência na política de acessos Notificar um gerente a respeito de um comportamento suspeito de um colega.
Qual tipo de categoria de contramedidas é dirigida para detectar incidentes? [Código de referência Contramedidas preventivas Contramedidas redutoras Contramedidas investigativas Contramedidas repressivas.
A avaliação/análise de riscos ajuda a empresa a avaliar corretamente os riscos e determinar as medidas de segurança corretas e equilibradas. O que não é objetivo da avaliação/análise de riscos? Identificar ativos e seus valores Determinar vulnerabilidades e ameaças Determinar a estratégia para um risco Determinar o equilíbrio entre os custos de um incidente e os custos de medidas de segurança.
A classificação é utilizada para definir os diferentes níveis de sensibilidade para a qual as informações podem ser estruturadas. Classificações possíveis poderiam ser, por exemplo: com secreta, confidencial ou pública. A classificação indica o tipo de segurança que é necessária para o ativo. Qual exemplo a seguir poderia ser visto como resultado da classificação de determinadas informações? Informações adicionais são inseridas em um arquivo sem que os usuários percebam Todos os dias é realizado um backup de uma pasta na rede que contém planilhas da área de marketing Somente os usuários com permissão podem acessar determinados documentos em uma pasta na rede.
Qual dos seguir é um exemplo de medida de segurança física? Uso de extintores de incêndio especiais Política de uso de criptografias Controle lógico de acesso a um sistema de contabilidade Política BYOD (bring your device).
Câmeras de segurança permitem que possam ser detectadas em tempo real ações não autorizadas dentro da organização. Elas são um tipo medida de segurança física. Qual das seguintes é equivalente na medida de segurança técnica? Segregação de funções Sistema de Detecção de Invasões (Intrusion Detection System IDS) Extintor de incêndio Criação de logins de acessos aos aplicativos.
Não se deve permitir qualquer pessoa acessar facilmente os ativos da empresa que devem estar protegidos. Isto pode ser ilustrado simplesmente ao pensar em termos de uma série de anéis de proteção. Qual anel se refere à proteção de acesso às instalações? Construção / Edíficio Anel externo Espaço de trabalho Objeto.
Laptops são roubados todos os dias. Não há muita dificuldade em detectar uma bolsa de laptop entre outras bagagens em aeroportos, tornando as coisas mais fáceis para os ladrões. Qual das seguintes é uma medida de segurança técnica eficaz para proteger a confidencialidade dos dados contidos no laptop? Corrente de cabo anti-roubo Política de conscientização para que os funcionários protejam seus laptops durante as viagens de trabalho Criptografia de disco.
Malware é uma combinação das palavras "malicioso" e "software" e referese a software indesejado. Qual dos seguintes não se encaixa nesta categoria? Phishing Virus Spyware Trojan (cavalo de tróia).
O modelo PEVA, Planejar-Executar-Verificar-Agir (ou em inglês, PDCA, Plan-Do-Check-Act), também chamado de ciclo de qualidade de Deming, forma a base da determinação, implementação, monitoramento, controle e manutenção do Sistema de Gerenciamento de Segurança da Informação (SGSI). Qual das seguintes é uma atividade da fase Planejar Os objetivos da segurança da informação, os processos e procedimentos pertinentes são definidos A política de segurança da informação e os procedimentos e medidas subjacentes são implementados As responsabilidades são alocadas para cada sistema e/ou processo de informação As correções são realizadas e são tomadas medidas preventivas, com base nos resultados da auditoria interna.
Acessos desnecessários aumentam o risco sobre a informação que está sendo usada intencionalmente ou não, alterada ou destruída. Qual risco é geralmente reduzido com a implementação de segregação (separações) de funções? Hackers tentando invadir o sistema para obter dados confidenciais de clientes Informações de vendas deletadas de forma acidental por um estagiário Acesso autorizado a informações de clientes para realizar uma venda Vazamento de informações confidenciais através de redes sociais.
Ao criar um sistema de controle de acessos devese levar em conta quem precisa de acesso à informação. Qual dos seguintes garantirá que pessoas não autorizadas não tenham acesso a sistemas automatizados (aplicativos)? Política de segregação de responsabilidades Gerenciamento de acesso lógico Política de uso de dispositivos pessoais.
O backup pode ser usado para restaurar a última versão salva do documento, portanto, apenas uma parte dos dados é perdida. Em que categoria de contramedida se enquadra o backup? Detecção Repressão Investigativa Seguros.
Examine abaixo cada uma das combinações de riscos de segurança e medidas de proteção propostas. Identifique entre as opções aquela em que a medida de proteção é a menos adequada diante do risco identificado. Risco: Acesso indevido a determinadas informações confidenciais dentro de um sistema – Medida: segregação de funções Risco: Perda de informações não salvas devido a queda de energia – Medida: Fonte de alimentação Ininterrupta (UPS) Risco: Perda de confidencialidade devido ao roubo de um laptop – Medida: criptografia de dados Risco: Violação da confidencialidade da informação enviada por email – Medida: Fitas de cópias de segurança.
Qual anel de proteção se refere a área em torno das instalações? O anel externo O edifício / construção O local de trabalho O objeto.
Qual dos seguintes é um exemplo de de escalação funcional (horizontal) no tratamento de incidentes? O help desk repassa o incidente para a equipe de redes pelo fato de não ter experiência no assunto Um gerente é notificado a respeito de um comportamento suspeito de um funciário O gerente de infraestrutura é acionado para que a equipe de redes dê maior prioridade a um incidente crítico Um gerente de desenvolvimento é convocado para tomar decisão em relação a uma medida para corrigir uma falha de segurança.
Qual dos seguintes tipos de lei é uma alteração do código penal para tornar mais fácil lidar com crimes cometidos por meio da tecnologia de informação avançada? Lei de registros públicos Lei de proteção de dados pessoais Lei de crimes cibernéticos Lei de acesso público à informação governamental.
É um ponto importante que o cidadão possua o direito de inspecionar seus dados registrados em uma organização, desta forma as organizações devem ter uma política e procedimentos em vigor para isto. Que tipo de lei por garantir este direito do cidadão? Lei de registros públicos Lei de proteção de dados pessoais Lei de crimes cibernéticos Lei de acesso público à informação governamental.
Qual dos seguintes se refere a um projeto de segurança para aplicações de código aberto e inclui corporações, organizações educacionais e indivíduos de todo o mundo? ANSI (American National Standards Institute) ITUT (Sector de Normatização das Telecomunicações da Internacional Telecommunications Union) IEEE (Instituto de Engenheiros Elétricos e Eletrônicos) Open Web Application Security Project (OWASP).
Um dono de um fábrica notou que tem desaparecido material em seu estoque. Qual seria a medida investigativa mais apropriada para descobrir quem está roubando na empresa? Contratar um detetive Instalar um alarme Instalar uma câmera escondida.
Qual dos seguintes é um exemplo de medida de segurança física? Sensores de quebra de vidro estes sensores detectam quando uma janela é quebrada Criptografia de dados Controle de acesso lógico à aplicativos Segregação de funções.
Report abuse Terms of use
We use cookies to personalize your experience. If you continue browsing you will be accepting its use. More information.