Prévia do material em texto
Exame simulado Edição 201812 Highlight Highlight Highlight Highlight Highlight Highlight Highlight Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 2 Copyright © EXIN Holding B.V. 2018. All rights reserved. EXIN® is a registered trademark. No part of this publication may be reproduced, stored, utilized or transmitted in any form or by any means, electronic, mechanical, or otherwise, without the prior written permission from EXIN. Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 3 Conteúdo Introductie 4 Voorbeeldexamen 5 AntwoordsleutelError! Bookmark not defined. EvaluatieError! Bookmark not defined. Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 4 Introdução Este é o modelo de exame de EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR). As regras e regulamentos do exame do EXIN se aplicam a este exame. Este exame consiste de 30 questões de múltipla escolha. Cada questão de múltipla escolha possui um certo número de alternativas de resposta, entre as quais somente uma resposta é a correta. O número máximo de pontos que pode ser obtido neste exame é 30. Cada resposta correta vale um ponto. Para ser aprovado você deve obter 20 pontos ou mais. O tempo permitido para este exame simulado é de 90 minutos. Boa sorte! Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 5 Exame simulado 1 / 30 Qual é o elemento chave do desenvolvimento da estratégia de segurança? A) Descrição de como os serviços estão sendo suportados B) A política empresarial não deve entrar em conflito com as leis do país onde ela está sendo implementada C) Objetivos de controle relevantes D) Retorno do Investimento (ROI) 2 / 30 Um dos desafios de um gerente de segurança de TI de uma empresa muito conservadora é o de ensinar o gerente de TI que, para fornecer um programa de segurança da informação efetivo para a organização, uma mudança se faz necessária em relação aos conceitos sobre o que é a segurança de TI e o que ela engloba. O que o gerente de segurança de TI está tentando ensinar gerente de TI? A) Focar a proteção da infraestrutura de TI e não desviar disso, podendo assim garantir que o foco apropriado seja colocado onde é mais crítico. B) A segurança de informação cada vez mais requer a atenção de mais setores além de TI, porque não apenas a tecnologia importa, mas também a aceitação pública do uso da tecnologia. C) A segurança da informação precisa operar dentro dos limites do grupo de TI da organização e limitar sua interação com outros grupos organizacionais. 3 / 30 Um dos gerentes de negócio está muito preocupado que qualquer tipo de programa de segurança de TI possa ser intrusivo demais e impeça que o negócio continue a prosperar e inovar. Qual afirmação melhor descreve o que deve ser dito ao gerente? A) A segurança da informação existe para atender ao interesse da organização e é implementado apenas o nível de segurança apropriado para o valor da informação. B) A segurança da informação é um meio para proteger as informações e mitigar todos os riscos de dados na organização. C) Embora a segurança da informação possa ser um pouco intrusiva, isto é para o bem da organização e todas as informações corporativas precisam ser estritamente bloqueadas ou poderá ser enfrentado consequências terríveis. Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 6 4 / 30 O gerente de segurança é o responsável pela definição dos controles de segurança. A empresa está selecionando um fornecedor para hospedar um sistema de pedidos direcionado para a web. Qual deve ser o aspecto mais importante que o gerente de segurança investigará? A) Um padrão de devido cuidado (due care) B) Um padrão de devida diligência (due diligence) C) Benchmarking D) Melhores práticas de segurança 5 / 30 Controles de segurança são definidos com base na classificação de segurança de um elemento de dados. Quem é o responsável pela classificação de segurança de um elemento de dados? A) A alta direção, que comanda a empresa B) O guardião de dados (data custodian), que gerencia a utilização dos dados C) O proprietário do processo, que governa o processo D) O proprietário do sistema, que assegura do sistema de informação 6 / 30 Que abordagem para avaliação de riscos utiliza categorias em vez de números reais para determinar os riscos? A) Avaliativa B) Qualitativa C) Quantitativa Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 7 7 / 30 O gerenciamento de segurança da informação está sendo implementado atualmente na empresa “Internet Booksellers”. O líder do projeto de segurança da informação entende que o processo de identificação de riscos exige que ele organize os ativos organizacionais por ordem de importância e trabalhe com o gerente financeiro para elaborar essa lista. O peso de importância baseia-se nos seguintes critérios: impacto sobre a receita (30%), impacto sobre a rentabilidade (40%) e impacto sobre a imagem pública (30%). O gerente financeiro sugeriu quatro importantes ativos de informação: • Pedidos para o fornecedor (saída) • Pedido do cliente via SSL (entrada) • Orientação de conformidade do fornecedor (entrada) • Requisição de atendimento ao cliente por e-mail (entrada) Quais ativos têm a melhor classificação com base nos critérios de impacto? A) Pedidos para o fornecedor (saída) B) Pedido do cliente via SSL (entrada) C) Orientação de conformidade do fornecedor (entrada) D) Requisição de atendimento ao cliente por e-mail (entrada) 8 / 30 O que precisa ser decidido antes de considerar o tratamento de riscos? A) Como aplicar controles apropriados para reduzir os riscos B) Os requisitos e as restrições operacionais C) Requisitos e restrições da legislação e das exigências nacionais e internacionais D) Quantificação de riscos 9 / 30 Uma grande empresa de transporte adotou a norma de segurança da informação (ISO/IEC 27001:2013) e precisa definir controles para seu departamento de desenvolvimento de software, que está sendo terceirizado. Um consultor externo foi determinado para certificar-se de que sejam implementados controles de segurança consistentes com o código de práticas em toda a cadeia de suprimentos de desenvolvimento de software na nova situação terceirizada. Qual controle deve ser colocado em prática para garantir a disponibilidade do código-fonte caso um dos parceiros da cadeia de suprimento abandone o negócio? A) Teste de aceitação B) Documentação eficaz C) Acordos judiciais D) Contratos de licenciamento Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 8 10 / 30 A gerente de segurança de uma organização acaba de ser solicitada a liderar o primeiro esforço da organização para a avaliação de riscos. A gerente de segurança está no processo de implementação de controles para mitigar os riscos identificados. Ela levou em conta os objetivos da organização, legislação e as normas aplicáveis. Qual item deveria também ser levado em consideração ao se implementar controles operacionais? A) Mitigação de riscos B) Restrições operacionais C) Priorização de riscos D) Transferência de riscos 11 / 30 O escopo do gerenciamento de riscos não se limita exclusivamente aos processos organizacionais. Ele também deve ser incorporado à metodologia de gerenciamento de projetos. Por exemplo, uma avaliação de riscos de segurança da informaçãodeve ser realizada na fase inicial de cada projeto. Ao implementar a gerenciamento de riscos de projetos, é necessário considerar o escopo desse processo. O que deve ser incluído no escopo de um gerenciamento de riscos para projetos padrão? A) Como uma organização de projetos é apenas uma pequena parte da organização, precisamos apenas incluir um simples mecanismo de identificação e classificação para ameaças e riscos especificamente relacionados com o projeto. B) É necessário incluir processos necessários para avaliar, mitigar, gerenciar e reduzir o impacto das ocorrências como faríamos com um projeto de segurança da informação. C) É necessário preparar para um nível de risco máximo e, portanto, implementar sub processos importantes, como identificação, quantificação, desenvolvimento de respostas e controle de respostas de riscos. 12 / 30 Qual é o nome popular da ISO/IEC 15408 sobre modelos de arquitetura de segurança? A) Modelo de Graham-Denning B) Na Série Rainbow (arco-íris) – o “livro laranja” C) Os Critérios Comuns (Common Criteria) 13 / 30 Uma gerente de operações quer assessoria sobre a abertura de um segundo datacenter em um local com ‘hot standby’. Qual é o conselho que o gerente de segurança deve fornecer? A) Assegurar-se de que o local tem um perfil de risco físico diferente do local principal (aeronaves, água) B) Assegurar-se de que a rede e o abastecimento de energia são redundantes e, de preferência, de provedores diferentes C) Assegurar-se de que este acesso físico só é concedido a operadores específicos D) Assegurar-se de que sua empresa não será uma vítima da legislação da ‘Patriot Act’ Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 9 14 / 30 Uma equipe de segurança acabou de finalizar uma avaliação de riscos organizacional e agora estão discutindo os controles para mitigar os riscos. Como parte deste esforço programas e controles técnicos foram considerados. Qual é a terceira categoria de controles de acesso que deve ser considerada? A) Custos B) Políticas C) Transferências 15 / 30 Após fazer uma avaliação de riscos e estabelecer um conjunto de controles adequado que satisfaça o apetite de risco da organização, o trabalho do consultor está quase completo. O consultor entende que na realidade nenhum conjunto de controles pode fornecer uma segurança completa. O que deve ser executado para reforçar ainda mais a segurança? A) Uma auditoria interna deve ser realizada para fornecer uma garantia de que as decisões de risco corretas tenham sido tomadas. B) Uma ação de gerenciamento deve ser implementada para monitorar, avaliar e melhorar a efetividade dos controles de segurança para apoiar os objetivos da organização. C) As unidades de negócios devem continuar a realizar auto-avaliações de riscos anualmente. D) Os riscos residuais devem ser transferidos. 16 / 30 O gerente de segurança da informação acaba de ser informado sobre uma revisão gerencial pendente da política de segurança da informação. Qual é uma contribuição para esta revisão gerencial? A) O aprimoramento dos objetivos de controle e dos controles B) O aprimoramento da abordagem gerencial da segurança da informação C) Necessidades de recursos 17 / 30 O gerente de segurança da informação de uma empresa global acaba de receber uma revisão gerencial da política de segurança da informação. O que o resultado desta revisão deve incluir? A) Feedback para as partes interessadas B) Aprimoramento dos controles e objetivos de controles C) Situação atual das ações preventivas e corretivas Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 10 18 / 30 Manter um programa de segurança da informação requer um processo contínuo. Isto requer entradas (inputs) de muitos diferentes fatores que irão influenciar o seu sucesso. Qual é uma influência de entrada que exigiria a mudança do processo? A) Politica B) Avaliação de riscos C) Plano de segurança 19 / 30 Uma grande parte da responsabilidade de uma equipe de segurança da informação consiste em monitorar e detectar incidentes. Qual é o indicador mais provável de um incidente? A) Ações executadas em horários inesperados B) Atividades realizadas por contas inativas C) Uma notificação do Sistema de Detecção de Intrusos (IDS) D) A presença de novas contas 20 / 30 Quem é responsável pela coordenação de uma campanha de conscientização sobre segurança na organização? A) Todas as pessoas da organização B) O gestor de segurança da informação C) O departamento de TI D) O secretário do CIO 21 / 30 No ano passado uma organização tornou-se mais rigorosa no que se refere aos controles de segurança de seus funcionários. Antes de implementar controles adicionais, a diretora de segurança da informação deseja conhecer a mentalidade dos funcionários em relação aos controles de segurança da informação. Como ela pode obter rapidamente uma noção a respeito? A) Ela verifica o fluxo de dados da internet. B) Ela verifica para determinar se há vírus na rede. C) Ela dá umas voltas pelo escritório depois das horas normais de trabalho. 22 / 30 Qual é a principal vantagem de usar uma arquitetura de segurança de design aberto? A) Designs abertos são fáceis de configurar. B) Designs abertos são muito testados. C) Designs abertos possuem muitos recursos extras. Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 11 23 / 30 Qual item de segurança foi desenvolvido para capturar grandes quantidades de tráfego na rede que podem indicar um ataque como negação de serviço? A) Firewall B) Sistema de Detecção de Intrusão e Proteção Baseado no Host (Host-based IDPS) C) Sistema de Detecção de Intrusão e Proteção Baseado na Rede (Network-based IDPS) D) VPN 24 / 30 A CEO de uma empresa começou a usar um tablet e quer que o gerente de segurança, lhe facilite a utilização do email e agenda corporativa no tablet. O gerente de segurança entende esse desejo como uma possibilidade de Trazer Seu Próprio Dispositivo (Bring Your Own Device - BYOD). Quais controles (além de um treinamento de conscientização) deve ser proposto para evitar perdas de dados em caso de roubo ou perda do dispositivo pessoal? A) Criptografar o armazenamento local e as conexões de rede B) Implementar uma autenticação forte utilizando tokens com senhas de utilização única (one-time password) C) Investigar seus requisitos e não atender seu pedido até que seja possível uma integração estável de funções empresariais em dispositivos particulares D) Instalar anti-malware e um firewall para evitar infecções 25 / 30 Qual afirmação sobre a arquitetura de segurança é a mais correta? A) A arquitetura de segurança segue a estratégia. B) A arquitetura de segurança é secundária a estratégia. C) A arquitetura de segurança define completamente as normas de implementação. 26 / 30 Zoneamento é um controle de segurança para separar áreas físicas com níveis de segurança diferentes. Zonas com níveis de segurança mais altos podem ser protegidas com mais controles. O gerente de segurança de um hotel é responsável pela segurança e está considerando diferentes zonas para o hotel. Qual combinação de funções de negócios deve ser combinada em uma única zona de segurança? A) Sala de reunião da diretoria e espaço geral de escritórios B) Área de fitness e sala de armazém C) Quartos do hotel e bar público D) Restaurante público e lobby Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 12 27 / 30 Sabendo que os controles de segurança física são umaparte muito importante de um programa de segurança da informação, é solicitado à equipe de segurança que desenhe e em seguida implemente um perímetro de segurança para um departamento que está configurando alguns novos sistemas de dados. De acordo com a ISO/IEC 27001, qual é a diretriz mais importante que deve ser considerado ao estabelecer este perímetro? A) Um modelo de apoio de duas pessoas B) Câmeras e alarmes devem ser incluídos C) Registro e monitoramento do sistema D) A intensidade do perímetro deve depender da classificação dos dados que estão sendo protegidos 28 / 30 A gerente de recursos humanos da sua organização perguntou o que ela pode fazer como um benefício rápido (quick win) na área de recursos humanos e contratações para ajudar a fortalecer o programa de segurança da informação da organização de acordo com a ISO 27001. Qual seria o seu conselho? A) Verificar os antecedentes de todos os candidatos B) Adotar política de segurança C) Usar catracas na entrada da organização 29 / 30 O gerente de continuidade de negócios solicita entradas (inputs) para o plano de contingência. Qual deveria ser a sua primeira atividade? A) Definir o escopo B) Identificar funções empresariais críticas C) Testar o plano Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 13 30 / 30 Uma componente chave a ser integrada no programa de segurança da informação de sua organização é um programa de continuidade de negócios robusto. Para ajudar a fazer isso, foi solicitado a um consultor de segurança a listar os requisitos de informação essenciais para tal programa. Qual é a sua primeira preocupação sobre gestão de continuidade de negócios do ponto de vista da segurança da informação? A) Assegurar a segurança dos funcionários e a proteção das instalações de processamento de informação B) Identificar eventos que possam causar interrupções nas finanças da organização e em seguida uma avaliação de riscos C) Vincular os diversos aspectos de risco em um plano holístico a ser aprovado pela administração para implementar a estratégia D) As consequências de desastres, tempo ocioso do sistema, falhas de segurança, perdas de serviço e riscos inclusivos para assegurar que os sistemas empresariais estejam disponíveis. Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 14 Gabarito de respostas 1 / 30 Qual é o elemento chave do desenvolvimento da estratégia de segurança? A) Descrição de como os serviços estão sendo suportados B) A política empresarial não deve entrar em conflito com as leis do país onde ela está sendo implementada C) Objetivos de controle relevantes D) Retorno do Investimento (ROI) A) Incorreto. Esta resposta não diz respeito à definição de uma estratégia de segurança geral e é mais focada na ANS. B) Incorreto. Esta resposta não diz respeito à definição de uma estratégia de segurança geral e é mais uma parte da política de desenvolvimento. C) Correto. Ter objetivos de controle relevantes é um elemento chave para o desenvolvimento de uma estratégia de segurança. (Literatura: A, Capítulo 4.1.1) D) Incorreto. Esta resposta não diz respeito à definição de uma estratégia de segurança geral e se refere mais a prognósticos e planejamentos orçamentários. 2 / 30 Um dos desafios de um gerente de segurança de TI de uma empresa muito conservadora é o de ensinar o gerente de TI que, para fornecer um programa de segurança da informação efetivo para a organização, uma mudança se faz necessária em relação aos conceitos sobre o que é a segurança de TI e o que ela engloba. O que o gerente de segurança de TI está tentando ensinar gerente de TI? A) Focar a proteção da infraestrutura de TI e não desviar disso, podendo assim garantir que o foco apropriado seja colocado onde é mais crítico. B) A segurança de informação cada vez mais requer a atenção de mais setores além de TI, porque não apenas a tecnologia importa, mas também a aceitação pública do uso da tecnologia. C) A segurança da informação precisa operar dentro dos limites do grupo de TI da organização e limitar sua interação com outros grupos organizacionais. A) Incorreto. Este é um pequeno subconjunto de um programa de segurança da informação e não vai educar a gestão de TI que é preciso ter uma visão mais ampla para executar e gerenciar um programa de segurança de informação eficaz. A segurança da informação exige cada vez mais a atenção de mais do que apenas TI. B) Correto. Segurança requer mais do que apenas a atenção de TI dentro de uma organização. (Literatura: A, Capítulo 1.1.4) C) Incorreto. Isso não vai ensinar a gestão de TI que é preciso uma visão mais abrangente para executar e gerenciar um programa de segurança de informação eficaz. A segurança da informação exige cada vez mais a atenção de mais do que apenas TI. Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 15 3 / 30 Um dos gerentes de negócio está muito preocupado que qualquer tipo de programa de segurança de TI possa ser intrusivo demais e impeça que o negócio continue a prosperar e inovar. Qual afirmação melhor descreve o que deve ser dito ao gerente? A) A segurança da informação existe para atender ao interesse da organização e é implementado apenas o nível de segurança apropriado para o valor da informação. B) A segurança da informação é um meio para proteger as informações e mitigar todos os riscos de dados na organização. C) Embora a segurança da informação possa ser um pouco intrusiva, isto é para o bem da organização e todas as informações corporativas precisam ser estritamente bloqueadas ou poderá ser enfrentado consequências terríveis. A) Correto. As escolhas são feitas levando em conta quais dados serão protegidos e qual é o nível de proteção necessário para os dados. (Literatura: A, Capítulo 2.1) B) Incorreto. Esta resposta afirma que todos os riscos serão mitigados. Apenas subconjuntos de dados corporativos precisam ser protegidos. C) Incorreto. Esta resposta afirma que todos os dados organizacionais precisam ser protegidos, o que não é verdade. 4 / 30 O gerente de segurança é o responsável pela definição dos controles de segurança. A empresa está selecionando um fornecedor para hospedar um sistema de pedidos direcionado para a web. Qual deve ser o aspecto mais importante que o gerente de segurança investigará? A) Um padrão de devido cuidado (due care) B) Um padrão de devida diligência (due diligence) C) Benchmarking D) Melhores práticas de segurança (BSPs) A) Incorreto. Um padrão de devido cuidado simboliza um nível mínimo de segurança. B) Incorreto. Devida diligência significa que o fornecedor atende a um requisito padrão. Esse padrão não é necessariamente o nosso. C) Incorreto. Benchmarking é uma técnica utilizada para comparar organizações com atividades empresariais/maturidade/mercados similares. D) Correto. Melhores práticas de segurança são as melhores opções para uma determinada indústria ou linha de trabalho. É isso o que você deverá procurar em um fornecedor. (Literatura: B, Capítulo 9.4, Recommended Security Practices) Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 16 5 / 30 Controles de segurança são definidos com base na classificação de segurança de um elemento de dados. Quem é o responsável pela classificação de segurança de um elemento de dados? A) A alta direção, que comanda a empresa B) O guardião de dados (data custodian), que gerencia a utilização dos dados C) O proprietário do processo, que governa o processo D) O proprietário do sistema, que assegura do sistema de informação A) Incorreto.A diretoria tem a responsabilidade geral por todos os processos empresariais, mas a responsabilidade pelo exercício de todas as funções é delegada. B) Incorreto. O guardião é responsável pela definição e gestão dos requisitos para todos os elementos de dados no que se refere à conformidade com as leis e normas, mas também pela utilização de dados por diversas partes e processos sob a forma de contratos de dados. C) Correto. Qualquer elemento de dados é um objeto de controle de um processo empresarial. O proprietário do processo é a única pessoa que pode determinar se um elemento de dados é crítico para a organização. (Literatura: A, Capítulo 4.3.2) D) Incorreto. O proprietário do sistema é responsável pela implementação dos controles requeridos pela classificação CIA definida. 6 / 30 Que abordagem para avaliação de riscos utiliza categorias em vez de números reais para determinar os riscos? A) Avaliativa B) Qualitativa C) Quantitativa A) Incorreto. Esta não é uma metodologia ou abordagem padrão de risco. B) Correta. A abordagem qualitativa é uma metodologia de risco bem aceita que não usa números puros e conta com a experiência do profissional de segurança. Esta é atualmente a metodologia de risco mais aceita. (Literatura: B, Capítulo 7, Qualitative and Hybrid Asset Valuation Measures) C) Incorreta. Metodologia quantitativa usa números reais para definir o risco. Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 17 7 / 30 O gerenciamento de segurança da informação está sendo implementado atualmente na empresa “Internet Booksellers”. O líder do projeto de segurança da informação entende que o processo de identificação de riscos exige que ele organize os ativos organizacionais por ordem de importância e trabalhe com o gerente financeiro para elaborar essa lista. O peso de importância baseia-se nos seguintes critérios: impacto sobre a receita (30%), impacto sobre a rentabilidade (40%) e impacto sobre a imagem pública (30%). O gerente financeiro sugeriu quatro importantes ativos de informação: • Pedidos para o fornecedor (saída) • Pedido do cliente via SSL (entrada) • Orientação de conformidade do fornecedor (entrada) • Requisição de atendimento ao cliente por e-mail (entrada) Quais ativos têm a melhor classificação com base nos critérios de impacto? A) Pedidos para o fornecedor (saída) B) Pedido do cliente via SSL (entrada) C) Orientação de conformidade do fornecedor (entrada) D) Requisição de atendimento ao cliente por e-mail (entrada) A) Incorreto. Quando não for possível enviar pedidos para o fornecedor, isso provocará um alto impacto sobre a possibilidade de gerar receita e lucro. Entretanto, isso atrasará os pedidos do cliente. Talvez alguns clientes passem a comprar com um concorrente. Isso também provocará um impacto sobre a rentabilidade e a sobre a imagem pública. Normalmente, ainda haverá receita e lucro. B) Correto. Quando um cliente não consegue fazer um pedido on-line, imediatamente ele o fará com outro fornecedor. O impacto sobre a receita, a rentabilidade e a imagem pública será maior. (Literatura: B, Capítulo 6, Assessing the Value of Information Assets) C) Incorreto. Quando os pedidos para o fornecedor não puderem ser realizados, isso provocará um alto impacto sobre a possibilidade de gerar receita e lucro. Entretanto, isso atrasará os pedidos do cliente. Talvez alguns clientes passem a comprar com um concorrente. Isso também provocará um impacto sobre a rentabilidade e a sobre a imagem pública. Eventualmente, ainda haverá receita e lucro. D) Incorreto. Quando a requisição de atendimento ao cliente não puder ser cumprida, isso provocará um impacto elevado sobre a imagem pública. O impacto sobre a receita e a rentabilidade será significativamente inferior em comparação com elementos de falha no processo de logística. Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 18 8 / 30 O que precisa ser decidido antes de considerar o tratamento de riscos? A) Como aplicar controles apropriados para reduzir os riscos B) Os requisitos e as restrições operacionais C) Requisitos e restrições da legislação e das exigências nacionais e internacionais D) Quantificação de riscos A) Incorreto. Esta é uma das quatro opções possíveis para tratamento de risco e não representa um ponto para consideração que precise ocorrer antes de considerar o tratamento de risco. B) Incorreto. Este é um dos cinco itens que devem ser levados em conta ao desenhar os controles e não está na mesma tabela ISO da resposta correta. C) Incorreto. Este é um dos cinco itens que devem ser levados em conta ao desenhar os controles e não está na mesma tabela ISO da resposta correta. D) Correto. Se este critério estiver estabelecido, ele permite que você ignore riscos que estejam dentro dos limites de disposição para o trabalho da organização (apetite de riscos), assim você não perderá tempo focando em itens que não sejam considerados como um risco por sua organização ou por leis e regulamentações. (Literatura: B Capítulo 6, Risk Determination, and Risk Treatment/Risk Control) 9 / 30 Uma grande empresa de transporte adotou a norma de segurança da informação (ISO/IEC 27001:2013) e precisa definir controles para seu departamento de desenvolvimento de software, que está sendo terceirizado. Um consultor externo foi determinado para certificar-se de que sejam implementados controles de segurança consistentes com o código de práticas em toda a cadeia de suprimentos de desenvolvimento de software na nova situação terceirizada. Qual controle deve ser colocado em prática para garantir a disponibilidade do código-fonte caso um dos parceiros da cadeia de suprimento abandone o negócio? A) Teste de aceitação B) Documentação eficaz C) Acordos judiciais D) Contratos de licenciamento A) Incorreto. O teste de aceitação é um mecanismo para garantir que os resultados do processo de desenvolvimento atendam aos critérios de qualidade do cliente. O cliente não terá acesso ao código- fonte. B) Incorreto. A documentação eficaz é um requisito geral de todos os controles. O código-fonte não faz parte da documentação acessível ao cliente. C) Correto. Acordos judiciais garantem que o código-fonte do software seja armazenado em um local neutro. O código-fonte deve ser acessível para o cliente quando certos critérios para acesso forem atendidos, por exemplo, se o fornecedor entra em concordata ou decreta falência. (Literatura: C, Annexo A 14.2.7) D) Incorreto. Os contratos de licenciamento apenas garantem os direitos de propriedade geral e de propriedade intelectual do código. Eles não podem garantir acesso ao código-fonte para o cliente se o fornecedor abandonar o negócio. Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 19 10 / 30 A gerente de segurança de uma organização acaba de ser solicitada a liderar o primeiro esforço da organização para a avaliação de riscos. A gerente de segurança está no processo de implementação de controles para mitigar os riscos identificados. Ela levou em conta os objetivos da organização, legislação e as normas aplicáveis. Qual item deveria também ser levado em consideração ao se implementar controles operacionais? A) Mitigação de riscos B) Restrições operacionais C) Priorização de riscos D) Transferência de riscos A) Incorreto. O controle das mitigações de riscos é o que os controles foram projetados para obter, mas não é um dos itens necessários para ser levado em consideração quando você estiver implementando os controles projetados. B) Correto. Objetivos organizacionais, restrições operacionais e legislação e normas aplicáveis precisam ser levados em conta ao se implementarcontroles de riscos. (Literatura: B, Capítulo 7.2, Other Methods of Establishing Feasibility) C) Incorreto. A etapa da priorização de riscos ocorre antes do projeto e da implementação dos controles. D) Incorreto. A transferência de riscos é um controle a ser implementado e não é algo que deve ser levado em conta ao se implementar um controle. Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 20 11 / 30 O escopo do gerenciamento de riscos não se limita exclusivamente aos processos organizacionais. Ele também deve ser incorporado à metodologia de gerenciamento de projetos. Por exemplo, uma avaliação de riscos de segurança da informação deve ser realizada na fase inicial de cada projeto. Ao implementar a gerenciamento de riscos de projetos, é necessário considerar o escopo desse processo. O que deve ser incluído no escopo de um gerenciamento de riscos para projetos padrão? A) Como uma organização de projetos é apenas uma pequena parte da organização, precisamos apenas incluir um simples mecanismo de identificação e classificação para ameaças e riscos especificamente relacionados com o projeto. B) É necessário incluir processos necessários para avaliar, mitigar, gerenciar e reduzir o impacto das ocorrências como faríamos com um projeto de segurança da informação. C) É necessário preparar para um nível de risco máximo e, portanto, implementar sub processos importantes, como identificação, quantificação, desenvolvimento de respostas e controle de respostas de riscos. A) Correto. Em geral, esse escopo deve ser suficiente para a maioria dos projetos. Dito isso, precisamos permitir projetos maiores e mais críticos, de modo que também haja um processo para alcançarmos processos de gerenciamento de riscos mais detalhados para projetos corporativos maiores/mais abrangentes. Portanto, precisamos implementar um escopo genérico, como fazemos para a organização como um todo. (Literatura: B, Capítulo 5, Project Management in Information Security e C, Annexo A 6.1.5) B) Incorreto. O gerenciamento de riscos de projetos é muito semelhante ao gerenciamento de riscos normal. Assim sendo, o escopo genérico deve ser semelhante. Em muitas ocasiões, precisaremos apenas de uma abordagem simples, identificando e classificando somente as ameaças específicas que o projeto enfrenta. C) Incorreto. A implementação de todos os sub processos possíveis é aplicável apenas aos cenários de projetos de alto risco, como projetos de segurança ou em ambientes de missão crítica. Somente nesses ambientes a abordagem genérica deve ser utilizada. 12 / 30 Qual é o nome popular da ISO/IEC 15408 sobre modelos de arquitetura de segurança? A) Modelo de Graham-Denning B) Na Série Rainbow (arco-íris) – o “livro laranja” C) Os Critérios Comuns (Common Criteria) A) Incorreto. O modelo de controle de acesso de Graham-Denning descreve oito direitos básicos de proteção. Este é um bom modelo, mas não é a metodologia indicada aqui. B) Incorreto. O “livro laranja” é considerado a base da Série Rainbow. O Trusted Computer System Evaluation Criteria (TCSEC) é uma norma do DoD (Department of Defense – Departamento de Defesa Americano) que define os critérios para avaliação dos controles de acesso em um sistema de computador. Esta norma faz parte de uma série maior de normas, referida coletivamente como a Série Rainbow. C) Correto. Os Critérios Comuns (Common Criteria) para avaliação da segurança de tecnologia de informação (geralmente chamados de Critérios Comuns ou CC) constituem a norma internacional ISO/IEC 15408 para certificação da segurança de computadores. (Literatura: B, Capítulo 8.3, The Common Criteria) Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 21 13 / 30 Uma gerente de operações quer assessoria sobre a abertura de um segundo datacenter em um local com ‘hot standby’. Qual é o conselho que o gerente de segurança deve fornecer? A) Assegurar-se de que o local tem um perfil de risco físico diferente do local principal (aeronaves, água) B) Assegurar-se de que a rede e o abastecimento de energia são redundantes e, de preferência, de provedores diferentes C) Assegurar-se de que este acesso físico só é concedido a operadores específicos D) Assegurar-se de que sua empresa não será uma vítima da legislação da ‘Patriot Act’ A) Correto. Como se trata de um site alternativo, seria sensato assegurar-se que tenha um perfil de risco diferente. (Literatura: A, Capítulo 2.1.2) B) Incorreto. Isto é apenas parte do perfil de risco. C) Incorreto. Isto é um controle de segurança geral. D) Incorreto. Isto não é um risco de segurança físico, é um problema legislativo. 14 / 30 Uma equipe de segurança acabou de finalizar uma avaliação de riscos organizacional e agora estão discutindo os controles para mitigar os riscos. Como parte deste esforço programas e controles técnicos foram considerados. Qual é a terceira categoria de controles de acesso que deve ser considerada? A) Custos B) Políticas C) Transferências A) Incorreto. As três categorias de controles de acesso são controles técnicos, programas e políticas. B) Correto. As três categorias de controles de acesso são controles técnicos, programas e políticas. (Literatura: B, Capítulo 8, Access Control Models) C) Incorreto. As três categorias de controles de acesso são controles técnicos, programas e políticas. Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 22 15 / 30 Após fazer uma avaliação de riscos e estabelecer um conjunto de controles adequado que satisfaça o apetite de risco da organização, o trabalho do consultor está quase completo. O consultor entende que na realidade nenhum conjunto de controles pode fornecer uma segurança completa. O que deve ser executado para reforçar ainda mais a segurança? A) Uma auditoria interna deve ser realizada para fornecer uma garantia de que as decisões de risco corretas tenham sido tomadas. B) Uma ação de gerenciamento deve ser implementada para monitorar, avaliar e melhorar a efetividade dos controles de segurança para apoiar os objetivos da organização. C) As unidades de negócios devem continuar a realizar auto-avaliações de riscos anualmente. D) Os riscos residuais devem ser transferidos. A) Incorreto. Uma auditoria não constitui uma etapa obrigatória para garantir que decisões de risco corretas tenham sido tomadas. Embora uma auditoria possa ser realizada se houver falta de confiança nas pessoas que tomam as decisões sobre controles de mitigação. B) Correto. Esta é uma etapa básica em muitas metodologias de melhores práticas (ou seja, Planejar, Fazer, Verificar, Agir) que deve ser concluída para garantir que a melhora sistêmica e a avaliação contínua sejam itens críticos na manutenção dos controles adequados. (Literatura: C, Annexo A 5) C) Incorreto. Auto-avaliações são uma boa ideia, mas são apenas tão boas quanto as pessoas que realizam a avaliação. D) Incorreto. Este é um controle e a questão afirma que os controles já foram estabelecidos. 16 / 30 O gerente de segurança da informação acaba de ser informado sobre uma revisão gerencial pendente da política de segurança da informação. Qual é uma contribuição para esta revisão gerencial? A) O aprimoramento dos objetivos de controle e dos controles B) O aprimoramento da abordagem gerencial da segurança da informação C) Necessidades de recursos A) Incorreto. Isto é um resultado da revisão gerencial. B) Incorreto. Isto é um resultado da revisão gerencial. C) Correto. Isto é uma contribuição da revisão gerencial. (Literatura: C, Annexo A 5.1.2) Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001(ISMP.PR) 23 17 / 30 O gerente de segurança da informação de uma empresa global acaba de receber uma revisão gerencial da política de segurança da informação. O que o resultado desta revisão deve incluir? A) Feedback para as partes interessadas B) Aprimoramento dos controles e objetivos de controles C) Situação atual das ações preventivas e corretivas A) Incorreto. Esta é uma entrada para revisão gerencial da política de segurança da informação. B) Correto. Esta informação deve ser incluída no resultado. (Literatura: C, Annexo A 5.1.2) C) Incorreto. Este é um dado para revisão gerencial da política de segurança da informação. 18 / 30 Manter um programa de segurança da informação requer um processo contínuo. Isto requer entradas (inputs) de muitos diferentes fatores que irão influenciar o seu sucesso. Qual é uma influência de entrada que exigiria a mudança do processo? A) Politica B) Avaliação de riscos C) Plano de segurança A) Incorreto. Política é uma saída não é uma entrada do programa. B) Correto. A avaliação de risco é uma mudança na entrada que requer adaptação no processo. (Literatura: A, Capítulo 2.1.3) C) Incorreto. O plano de segurança é uma saída não é uma entrada do programa. 19 / 30 Uma grande parte da responsabilidade de uma equipe de segurança da informação consiste em monitorar e detectar incidentes. Qual é o indicador mais provável de um incidente? A) Ações executadas em horários inesperados B) Atividades realizadas por contas inativas C) Uma notificação do Sistema de Detecção de Intrusos (IDS) D) A presença de novas contas A) Incorreto. Esta opção está associada a indicadores prováveis, não definitivos. B) Correto. Se uma conta inativa iniciar atividades inesperadas, é (quase) certo que um incidente ocorreu. (Literatura: B, Capítulo 10.2, Detecting Incidents) C) Incorreto. Esta opção está associada a indicadores prováveis, não definitivos. D) Incorreto. Esta opção está associada a indicadores prováveis, não definitivos. Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 24 20 / 30 Quem é responsável pela coordenação de uma campanha de conscientização sobre segurança na organização? A) Todas as pessoas da organização B) O gestor de segurança da informação C) O departamento de TI D) O secretário do CIO A) Incorreto. Embora todas as pessoas da organização sejam responsáveis pela segurança organizacional, elas não são responsáveis pela coordenação do programa de conscientização sobre segurança da organização. B) Correto. A gestão de segurança da informação é responsável pela coordenação da campanha de conscientização sobre segurança. (Literatura: A, Capítulo 5.2) C) Incorreto. Embora o departamento de TI precise promover e estar ciente de questões e preocupações de segurança, ele não é responsável pela coordenação da campanha de conscientização sobre segurança da organização. D) Incorreto. O secretário pode ser responsável pela promoção e favorecimento da conscientização, mas não é diretamente responsável pela coordenação do programa de conscientização sobre segurança da organização. 21 / 30 No ano passado uma organização tornou-se mais rigorosa no que se refere aos controles de segurança de seus funcionários. Antes de implementar controles adicionais, a diretora de segurança da informação deseja conhecer a mentalidade dos funcionários em relação aos controles de segurança da informação. Como ela pode obter rapidamente uma noção a respeito? A) Ela verifica o fluxo de dados da internet. B) Ela verifica para determinar se há vírus na rede. C) Ela dá umas voltas pelo escritório depois das horas normais de trabalho. A) Incorreto. Isso apenas fornece informação a respeito de quanto a internet tem sido utilizada, não sobre a mentalidade geral dos funcionários. B) Incorreto. Isso é uma medida técnica e não fornece nenhuma informação sobre a mentalidade dos funcionários. C) Correto. Quando ele der suas voltas pelo escritório depois das horas normais de trabalho ele verá como os funcionários tratam as informações sigilosas. (Literatura: A, Capítulo 5.2) Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 25 22 / 30 Qual é a principal vantagem de usar uma arquitetura de segurança de design aberto? A) Designs abertos são fáceis de configurar. B) Designs abertos são muito testados. C) Designs abertos possuem muitos recursos extras. A) Incorreta. Desenhos abertos não são configurados mais facilmente que desenhos secretos (secret designs). B) Correta. Desenhos abertos são testados extensivamente e, além disso, os desenhos secretos nunca ficam em segredo. (Literatura: A, Capítulo 2.2.4) C) Incorreta. Desenhos abertos não possuem necessariamente mais funcionalidades do que os desenhos secretos. 23 / 30 Qual item de segurança foi desenvolvido para capturar grandes quantidades de tráfego na rede que podem indicar um ataque como negação de serviço? A) Firewall B) Sistema de Detecção de Intrusão e Proteção Baseado no Host (Host-based IDPS) C) Sistema de Detecção de Intrusão e Proteção Baseado na Rede (Network-based IDPS) D) VPN A) Incorreto. Esta é uma ferramenta de segurança, mas não coleta um grande número de tráfego de rede. B) Incorreto. Isto foca em dados de tráfego baseado no host e não baseado na rede. C) Correto. Um Sistema de Detecção de Intrusão e Proteção Baseado no Host (IDPS) é capaz de coletar e analisar dados que trafegam na rede de uma organização para verificar se eventos anormais são indicadores de um possível ataque ativo, como no caso de uma negação de serviço. (Literatura: B, Capítulo 12.2, Intrusion Detection and Prevention Systems) D) Incorreto. Isto é um dispositivo de acesso à infraestrutura de rede. Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 26 24 / 30 A CEO de uma empresa começou a usar um tablet e quer que o gerente de segurança, lhe facilite a utilização do email e agenda corporativa no tablet. O gerente de segurança entende esse desejo como uma possibilidade de Trazer Seu Próprio Dispositivo (Bring Your Own Device - BYOD). Quais controles (além de um treinamento de conscientização) deve ser proposto para evitar perdas de dados em caso de roubo ou perda do dispositivo pessoal? A) Criptografar o armazenamento local e as conexões de rede B) Implementar uma autenticação forte utilizando tokens com senhas de utilização única (one-time password) C) Investigar seus requisitos e não atender seu pedido até que seja possível uma integração estável de funções empresariais em dispositivos particulares D) Instalar anti-malware e um firewall para evitar infecções A) Correto. Em caso de perda ou roubo pelo menos os dados corporativos estarão seguros. (Literatura: B, Capítulo 12.3, Cryptography) B) Incorreto. Isso apenas possibilita um login seguro na rede corporativa. C) Incorreto. Pode ser sensato, mas o diretor executivo não pode ser negligenciado. D) Incorreto. Em caso de roubo ou perda os dados ainda serão acessíveis por terceiros. 25 / 30 Qual afirmação sobre a arquitetura de segurança é a mais correta? A) A arquitetura de segurança segue a estratégia. B) A arquitetura de segurança é secundária a estratégia. C) A arquitetura de segurança define completamente as normas de implementação. A) Correto. A arquitetura de segurança segue a estratégia de segurança da informação. (Literatura: A, Capítulo 2.2.1) B) Incorreto. A arquitetura de segurança é estratégica e, portanto não é secundária. C) Incorreto. A arquitetura de segurança é um projeto de nível mais alto que isso e não define completamente as normas de implementação.Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 27 26 / 30 Zoneamento é um controle de segurança para separar áreas físicas com níveis de segurança diferentes. Zonas com níveis de segurança mais altos podem ser protegidas com mais controles. O gerente de segurança de um hotel é responsável pela segurança e está considerando diferentes zonas para o hotel. Qual combinação de funções de negócios deve ser combinada em uma única zona de segurança? A) Sala de reunião da diretoria e espaço geral de escritórios B) Área de fitness e sala de armazém C) Quartos do hotel e bar público D) Restaurante público e lobby A) Incorreta. A sala de reuniões da diretoria pode conter informações estratégicas valiosas e, portanto, confidenciais, que podem não ser acessíveis ao pessoal regular. B) Incorreta. A instalação de armazenamento deve estar disponível apenas para (alguns) funcionários, enquanto a área de fitness é acessível a todos os hóspedes e funcionários. C) Incorreta. Os quartos do hotel e o bar devem ficar separados. O bar público pode ser usado por todos e os quartos do hotel são apenas para hóspedes pagantes. D) Correta. Ambos os locais podem ser usados por qualquer pessoa. (Literatura: A, Capítulo 2.2.4) 27 / 30 Sabendo que os controles de segurança física são uma parte muito importante de um programa de segurança da informação, é solicitado à equipe de segurança que desenhe e em seguida implemente um perímetro de segurança para um departamento que está configurando alguns novos sistemas de dados. De acordo com a ISO/IEC 27001, qual é a diretriz mais importante que deve ser considerado ao estabelecer este perímetro? A) Um modelo de apoio de duas pessoas B) Câmeras e alarmes devem ser incluídos C) Registro e monitoramento do sistema D) A intensidade do perímetro deve depender da classificação dos dados que estão sendo protegidos A) Incorreto. Este é um bom controle físico, mas não é o controle mais importante e não é uma diretriz. B) Incorreto. Este é um bom controle físico, mas não é o controle mais importante e não é uma diretriz. C) Incorreto. Este é um bom controle, mas não é o controle mais importante e não é um controle de perímetro. D) Correto. Todas as decisões tomadas por um recurso de segurança da informação devem ser centradas nos dados e as decisões devem ser baseadas na classificação dos dados envolvidos. (Literatura: C, Annexo A 11.1.1) Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 28 28 / 30 A gerente de recursos humanos da sua organização perguntou o que ela pode fazer como um benefício rápido (quick win) na área de recursos humanos e contratações para ajudar a fortalecer o programa de segurança da informação da organização de acordo com a ISO 27001. Qual seria o seu conselho? A) Verificar os antecedentes de todos os candidatos B) Adotar política de segurança C) Usar catracas na entrada da organização A) Correto. Uma das melhores práticas, cada vez mais utilizada, consiste em conduzir verificações de antecedentes de candidatos. Esta etapa simples fortalece muito a segurança geral dos dados organizacionais. (Literatura: C, Annexo A 7.1.2) B) Incorreto. Esta é uma boa ideia, mas não é um benefício rápido, embora pudesse ser uma estratégia em longo prazo. C) Incorreto. Este é um controle físico e não ajuda na área de recursos humanos e contratações. 29 / 30 O gerente de continuidade de negócios solicita entradas (inputs) para o plano de contingência. Qual deveria ser a sua primeira atividade? A) Definir o escopo B) Identificar funções empresariais críticas C) Testar o plano A) Incorreto. Escopo é o pilar de uma gestão de projeto e não uma pedra fundamental no planejamento de contingência empresarial, pois a abrangência é consequência dos resultados da análise de impacto empresarial (BIA). B) Correto. O ponto principal a ser considerado para se elaborar um plano de contingência empresarial é que a empresa defina e documente suas funções e sistemas empresariais críticos. (Literatura: B, Capítulo 10.1, Fundamentals of Contingency Planning) C) Incorreto. O teste do plano de contingência empresarial é extremamente importante e deve ser realizado anualmente, mas não é a primeira atividade. Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 29 30 / 30 Uma componente chave a ser integrada no programa de segurança da informação de sua organização é um programa de continuidade de negócios robusto. Para ajudar a fazer isso, foi solicitado a um consultor de segurança a listar os requisitos de informação essenciais para tal programa. Qual é a sua primeira preocupação sobre gestão de continuidade de negócios do ponto de vista da segurança da informação? A) Assegurar a segurança dos funcionários e a proteção das instalações de processamento de informação B) Identificar eventos que possam causar interrupções nas finanças da organização e em seguida uma avaliação de riscos C) Vincular os diversos aspectos de risco em um plano holístico a ser aprovado pela administração para implementar a estratégia D) As consequências de desastres, tempo ocioso do sistema, falhas de segurança, perdas de serviço e riscos inclusivos para assegurar que os sistemas empresariais estejam disponíveis. A) Correto. Este é um elemento chave para a gestão de continuidade de negócios de um ponto de vista da segurança da informação. (Literatura: C, Annexo A 17.1.1) B) Incorreto. Isto faz parte da continuidade de negócios e da avaliação de riscos: identificar eventos (ou uma sequência de eventos) que possam causar interrupções nos processos empresariais da organização. C) Incorreto. Isto faz parte da continuidade de negócios e da avaliação de riscos e deve ser realizado com o pleno envolvimento dos proprietários dos recursos e processos empresariais. D) Incorreto. Isto faz parte da continuidade de negócios e da avaliação de riscos: identificar eventos (ou uma sequência de eventos) que possam causar interrupções nos processos empresariais da organização. Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 30 Avaliação A tabela a seguir mostra as respostas corretas às questões apresentadas neste exame modelo. Número Resposta Número Resposta 1 C 16 C 2 B 17 B 3 A 18 B 4 D 19 B 5 C 20 B 6 B 21 C 7 B 22 B 8 D 23 C 9 C 24 A 10 B 25 A 11 A 26 D 12 C 27 D 13 A 28 A 14 B 29 B 15 B 30 A Exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR) 31 Contato EXIN www.exin.com http://www.exin.com/