QUESTÕES - POLÍTICAS DE SEGURANÇA E CLAS DA INFORMAÇÃO

Prévia do material em texto

POLÍTICAS DE SEGURANÇA E CLAS. DA INFORMAÇÃO
Marque a única opção correta em relação à Segurança da Informação.
Classificamos as informações para priorizar seu nível hierárquico dentro da organização.
Não precisamos controlar o acesso de terceirizados pois eles trabalham em suas empresas de origem.
Ter políticas de segurança definidas faz com que uma empresa fique imune a fraudes.
Uma das principais medidas que as empresas adotam para mitigar riscos é adotar boas práticas de gerenciamento, começando com as políticas de Segurança de Informação.
Todas as pessoas ligadas à empresa devem seguir as políticas de segurança da mesma exceto os stakeholders.
===============================================================================================
É exemplo de acesso lógico:
Informar login e senha de acesso.
Ter um guarda para controlar entrada de pessoas na diretoria.
Passar crachá com tarja magnética na catraca de entrada do prédio.
Informar digital para marcar ponto de entrada e saída no trabalho.
Usar câmera de vigilância na sala do CPD.
===============================================================================================
A assinatura digital é feita:
Por quem recebe a mensagem, usando sua chave privada para decodificar a mensagem.
Por quem envia a mensagem, usando sua chave pública para codificação da mensagem.
Através de um par de chaves síncronas.
Com o uso de biometria.
Através de codificação da mensagem com a chave privada do emissor.
===============================================================================================
O acordo de Basileia II .......... I – estipula requisitos de capital mínimo para instituições financeiras em função de seus riscos de crédito e de negócios; .......... II – estipula requisitos para mitigar riscos financeiros em instituições públicas e privadas; .......... III – impacta, do ponto de vista de risco de crédito, sobre a integridade das informações acerca das transações do banco. .......... São verdadeiras as sentenças:
III
II
I e II
I e III
II e III
===============================================================================================
Com referência ao COBIT versão 5.0, assinale a opção correta:
O COBIT 5 possui 5 habilitadores e 7 princípios.
As necessidades das partes interessadas são desdobradas em objetivos de TI.
Os 17 objetivos corporativos são repetidos como 17 objetivos da TI, na dimensão BSC de TI.
Os três principais objetivos da governança são: realização de benefícios, otimização do risco e otimização de recursos.
As práticas de TI não são consideradas habilitadores.
===============================================================================================
O COBIT 5 pode ser considerado um modelo unificado para governança e gestão de TI por que:
Abrange todas as filiais da organização.
Ele possui práticas para TI e não TI.
Ele cobre as atividades de toda a organização, incluindo terceirizadas.
Ele abrange atividades de todas as pessoas da organização.
Ele está alinhado com muitos padrões e modelos conhecidos e importantes, em um alto nível.
===============================================================================================
O código de lançamento de um míssil é uma informação classificada como:
Restrita
Confidencial
Interna
Secreta
Privada
===============================================================================================
Identifique qual o texto que representa uma boa política de segurança.
Os funcionários deverão portar crachá com foto quando dentro das dependências da empresa.
Funcionários, a partir do segundo nível gerencial, não podem viajar no mesmo veículo que seu chefe imediato.
Nenhum funcionário deve viajar de avião junto a seu chefe.
Os funcionários terceirizados devem ter crachá de cor azul.
 Todo funcionário deverá portar crachá com foto recente ao circular dentro da empresa durante o horário de expediente
===============================================================================================
Identifique a opção INVÁLIDA:
Cabe ao comitê diretor de TI definir, revisar e aprovar:
Trocas significativas de hardware.
Prioridade de projetos.
Cobertura de seguros.
Definição de aplicativos desenvolvidos em casa ou adquiridos externamente.
Casos de teste dos sistemas a serem implementados.
===============================================================================================
As sentenças abaixo dizem respeito a riscos de um data center. Identifique a opção INCORRETA:
A biblioteca do data center deve estar alocada dentro da sala do computador para agilizar obtenção dos recursos.
A localização do data center não deverá ser publicamente divulgada.
A localização do data center deverá ser nos andares mais altos do prédio.
As dependências do data center não devem ter janelas para a rua.
As mídias que entram e saem da biblioteca devem ser logadas e assinadas, tanto na entrada como na saída.
===============================================================================================
Sobre politicas de Segurança da Informação podemos afirmar:
I - Não podemos nos fiar apenas em software e hardware para assegurar a segurança de uma organização.
II - Em termos institucionais é importante que cada departamento possua um responsável pela segurança de sistemas em seus aspectos gerais.
III - Uma Política de Segurança cobre os colaboradores da empresa e seus sistemas.
Identifique qual das opções abaixo representam sentenças verdadeiras.
I
II
III
I e II
II e III
===============================================================================================
Identifique a única afirmativa verdadeira.
A gerência dos serviços de segurança é responsável pela segurança institucional, englobando todos os aspectos de Segurança de Sistemas.
Dentre outros objetivos em mente, um gerente de segurança deve impedir que aqueles que conseguirem acesso, autorizado ou não, danifiquem ou adulterem qualquer dado ou equipamento.
Ao detectarmos uma violação à política, a primeira coisa a ser feita é fazer uma advertência verbal ao infrator.
Uma vez que um usuário foi identificado e autenticado ele poderá acessar qualquer informação ou aplicativo sem qualquer restrição.
O usuário, como elo final da ponta de segurança, deve definir as políticas de segurança referentes ao seu trabalho.
===============================================================================================
Identifique a única resposta correta para um plano de emergência.
Ele deve ser ativado tão logo seja aprovado.
Ele provê a capacidade de restauração permanente das atividades do CPD.
Ele define como será feita a atualização da biblioteca externa.
No plano de emergência, constam os nomes das pessoas que executarão as atividades nele identificadas.
No plano de emergência, assinamos acordos com parceiros para serem acionados em caso de contingência.
===============================================================================================
Definimos quais riscos serão tratados no plano de emergência conforme:
Sua vulnerabilidade e sua frequência.
Seja mantida ou não a integridade dos dados dos sistemas.
Seu impacto e sua probabilidade de ocorrência.
O impacto que será causado na empresa.
Seja mantida ou não a integridade e a confidencialidade das informações.
===============================================================================================
Marque a opção correta: A segregação de funções deve ser observada a fim de:
Criar a possibilidade de identificação de fraudes.
Dificultar as possibilidades de fraude.
Eliminar as possibilidades de fraude.
Identificar fraudes.
Rastrear intenção de fraudes.
===============================================================================================
Identifique a única afirmativa correta em relação a controles internos.
Podemos ter controles internos como embutidos nos sistemas a fim de assegurarem a integridade das informações.
Um exemplo de controle interno é a matricula de um funcionário.
Os controles internos afetam a funcionalidade do sistema. Por essa razão, devemosusá-los com parcimônia.
O usuário informa quais controles internos ele gostaria que estivessem presentes em seus sistemas.
Os controles internos são apenas automáticos, isto é, contidos em sistemas computadorizados.
===============================================================================================
Em relação às categorias da estrutura normativa de uma empresa, identifique a única opção verdadeira
As políticas são definidas no nível operacional
O documento que define as regras de alto nível que representam os princípios básicos da empresa chama-se norma
O documento que serve de base para definição de normas e procedimentos é criado no nível estratégico
Os procedimentos representam as escolhas tecnológicas e os controles a serem aplicados, no nível tático.
As normas especificam no nível estratégico o que deve ser protegido
===============================================================================================
Dos controles de área física abaixo, qual o que NÃO CORRESPONDE CORRETAMENTE a um controle de área física de um data center?
A localização do data center não deverá ser publicamente divulgada
A sala do computador deve ser separada da biblioteca do data center por paredes de material não combustível
Os dutos de ar condicionado que permitem entrada de ar filtrado no data center deverão estar localizados em locais de fácil acesso.
O data center deverá instalar-se nos andares mais alto do prédio
Deverá ser feita uma limpeza periódica sob o piso elevado do data center
===============================================================================================
Marque a opção que representa premissas básicas, isto é, consideradas macro controles da norma ISO 27002 
Controle de Acesso, Segurança em Pessoas e Gestão da Conformidade 
Política de Segurança da Informação, Gestão da Conformidade e Gestão de Processos
Segurança Física e Ambiental, Gestão de Processos e Aquisição de Livros Técnicos
Manutenção de Sistemas, Gestão de Pessoas e Gestão do Patrimônio Organizacional
Segurança Patrimonial, Classificação do Estoque de Ativos e Manutenção de Sistemas
===============================================================================================
Em relação aos controles de acesso físico a um data center, identifique qual a opção INVÁLIDA
Manter apenas um colaborador dentro das dependências do data center quando sistemas estiverem sendo processados 
Controle de acesso para pessoal de limpeza, manutenção e outros deverá ser o mesmo que para visitas
Escadas de acesso ao andar/dependências do data center devem possuir portas corta-fogo
Deverá ser feita uma limpeza periódica sob o piso elevado do data center
O gerente do data center deverá preparar um checklist de s segurança e usa-lo 
na condução anual de revisões do data center
===============================================================================================
Em relação à classificação das informações, identifique a única opção VERDADEIRA 
Os critérios e tipo de classificação das informações de uma empresa devem ser os que constam na norma ISO 27.002
Uma informação classificada como confidencial nunca deixará de ser confidencial.
Cada empresa define suas regras de classificação de suas informações
O objetivo da classificação das informações tem o propósito da apuração contábil das empresas já que a informação é um de seus maiores ativos.
Informações não classificadas não são tratadas em políticas de segurança.
===============================================================================================
São perspectivas do método BSC (Balanced Scorecard) EXCETO (marque a alternativa INVALIDA)
Externa
Cliente
Financeira
Interna
Treinamento e crescimento
===============================================================================================
Conforme a norma 19011:2011, a condução da reunião de abertura faz parte de qual etapa da auditoria? 
Início da auditoria
Preparação das atividades de auditoria
Seleção do sistema a ser auditado
Execução da auditoria
Continuação da auditoria
===============================================================================================
São objetivos de um plano de emergência, EXCETO
prover recursos para as respostas de risco
prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco
prover segurança física
prover meios necessários para detectar antecipadamente e eliminar/frear o dano
prever todas as possibilidades de desastres (naturais ou provocados
===============================================================================================
Roubar centavos da conta-corrente de um cliente é um exemplo de
ameaça deliberada passiva
ameaça acidental ativa
ameaça programada passiva
ameaça deliberada ativa
ameaça acidental passiva
===============================================================================================
Assinale a única opção verdadeira.
Os arquivos devem ser gerenciados quanto a seu período de retenção. Isso assegura a eficácia dos controles que isolam a existência de arquivos obsoletos ou inativos, não permitindo a gravação em mídias ainda não liberadas para regravação.
Estamos falando de controle.... 
de gravação e recuperação de dados.
de processamento rotineiro.
de preparação e captação de dados.
de entrada de dados.
de saída
Assinale a única opção FALSA.
Os principais objetivos de um sistema geral de controles internos são:
Salvaguardar os ativos da empresa.
Permitir a eficiência operacional dos sistemas da empresa.
Manter a integridade das informações em registros contábeis.
Encorajar as pessoas a seguirem as politicas de segurança.
Permitir testes mais eficientes dos sistemas da empresa.
===============================================================================================
Em relação a segurança de sistemas, identifique a única afirmativa verdadeira.
Dentre outras objetivos em mente, um gerente de segurança deve impedir que aqueles que conseguirem acesso, autorizado ou não, danifiquem ou adulterem qualquer dado ou equipamento
O usuário, como elo final da ponta de segurança, deve definir as políticas de segurança referentes ao seu trabalho.
Ao detectarmos uma violação à política, a primeira coisa a ser feita é fazer uma advertência por escrito ao infrator
Uma vez que um usuário foi identificado e autenticado ele poderá acessar qualquer informação ou aplicativo sem qualquer restrição.
A gerencia dos serviços de segurança é responsável pela segurança institucional, englobando todos os aspectos de segurança de sistemas.
Conforme Imoniana, "os sistemas deverão
===============================================================================================
Conforme Imoniana, "os sistemas deverão proporcionar relatórios que permitam controles nos sistemas em produção, a fim de verificação do correto uso de controles internos" é uma propriedade dos controles de segurança conhecida como
Sigilo
Disponibilidade
Integridade
Auditoriabilidade
Contabilidade
===============================================================================================
Em relação a segurança de sistemas em desenvolvimento e sistemas em produção devemos 
I - Verificar existencia de controles internos nos sistemas em desenvolvimento
II - Verificar a conformidade com padrões vigentes apenas nos sistemas em produção
III - Verificar se há controles omissos nos sistemas em produção.
A opção que retrata a(s) sentença(s) verdadeira(s) é
II
I
I e II
III
II e II
===============================================================================================
Em relação ao primeiro princípio do COBIT podemos afirmar as situações abaixo, EXCETO uma delas.
Identifique-a.
Para atingirmos os objetivos de TI (Tecnologia da Informação) necessitamos dos objetivos corporativos
As necessidades das Partes Interessadas são transformadas em ações estratégicas.
A cascata de objetivos do COBIT nos permite organizar e entender como a TI pode atender as metas da organização.
A realização de benefícios é um dos principais objetivos da governançacorporativa.
As necessidades das Partes Interessadas são desdobradas em objetivos corporativos.
===============================================================================================
A criptografia tem por finalidade proteger.....Marque a alternativa correta:
A integridade, a acuidade e/ou a credibilidade da informação
A confidencialidade, a confiabilidade e /ou a integridade da informação
A veracidade, a segurança e/ou a disponibilidade da informação
A confidencialidade, acuidade e/ou disponibilidade da informação
A confidencialidade, autenticidade e/ou integridade da informação.
===============================================================================================
Em relação à violação de políticas de segurança... marque a única opção correta.
As violações de políticas de segurança são tratadas como procedimentos de rotina, devendo as políticas serem alteradas para evitar outras violações
A primeira coisa a fazer ao se detectar uma violação de política de segurança é notificar o infrator por escrito
Uma política de segurança não permite violação porque seu conteúdo é aprovado pelo conselho de segurança da empresa
Ao cometer uma violação de política de segurança, o infrator está sujeito a suspensão temporária do trabalho.
Uma política deve possuir os passos a serem seguidos para cada tipo de violação
===============================================================================================
O princípio de controle interno que diz que a gerência deve definir procedimentos, monitorar os registros das transações econômicas, financeiras e contábeis da empresa, processando-as e comunicando os resultados às pessoas necessárias em tempo hábil é conhecido por 
Tempestividade
Segregação das funções
Auditorabilidade
Controle Independente
Supervisão
===============================================================================================
O principio de controle interno que diz que os procedimentos operacionais devem permitir a programação e verificação periódica no que diz respeito à precisão do processamento de dados e de geração de relatórios, conforme as políticas de segurança da empresa chama-se 
 Registro e Comunicação 
 Monitoramento 
 Tempestividade 
 Controle independente 
 Auditoriabilidade
===============================================================================================
Segundo Imoniana, são considerados como principais objetivos de um sistema geral de controles internos (marque a alternativa correta)
auditoriabilidade, supervisão e usabilidade
controle dependente, supervisão e acuidade
confiabilidade, disponibilidade e integridade
supervisão, classificação da informação e acuidade
supervisão, tempestividade e controle independente
===============================================================================================
Uma vez identificados os recursos que se quer proteger, desenvolvemos estratégias para controlar o ambiente vulnerável, devemos pensar em algumas linhas de ação como a seguir, EXCETO ...... (identifique a opção INVÁLIDA)
Eliminar o risco, se possível
Limitar o dano, reduzindo o impacto
Eliminar o risco, sempre
Reduzir o risco a um nível aceitável
Compensar o dano, por meio de seguros
===============================================================================================
Identifique a se verdadeira em relação a dimensão do BSC (balanced Scorecard) sob qual o objetivo corporativo do COBIT se enquadra
O objetivo PORTFÓLIO DE PRODUTOS E SERV IÇOS CO MPETIT IVOS está na dimensão cliente
O objetivo CONTINUIDADE E DISPONIBILIDADE DO SERRVI ÇOS DE NEGÓCIO está na dimensão interna
O objetivo OTIMIZAÇÃ O DOS CUSTOS DE PRESTAÇÃ O DE SERVIÇOS está na dimensão financeira
O objetivo CULTUR A DE INOVAÇÃO DE PRODUTOS E SERVIÇOS está na dimensão cliente
O objetivo CONFORMIDA DE COM AS LEIS E REGULAMENTOS INTERNOS está na dimensão financeira
===============================================================================================
Identifique a sentença verdadeira em relação a dimensão do BSC (Balanced Scorecard) sob a qual o objetivo corporativo do COBIT se enquadra.
O objetivo PORTFÓLIO DE PRODUTOS E SERVIÇOS COMPETITIVOS está na dimensão cliente 
O objetivo CONFORMIDADE COM AS LEIS E REGULAMENTOS INTERNOS está na dimensão financeira 
O objetivo CONTINUIDADE E DISPONIBILIDADE DOS SERVIÇOS DE NEGÓCIO está na dimensão interna
O objetivo OTIMIZAÇÃO DOS CUSTOS DE PRESTAÇÃO DE SERVIÇOS está na dimensão financeira
O objetivo CULTURA DE INOVAÇÃO DE PRODUTOS E SERVIÇOS está na dimensão cliente
===============================================================================================
Segundo Imoniana , as propriedades dos controles de segurança de sistemas podem ser classifica das e m :
(marque a única opção INCORRETA)
integridade
contingenciabilidade
sigilo
contabilidade
disponibilidade
===============================================================================================
Segundo Imoniana são considerados como principais objetivos de um sistema geral de controles internos
(marque a alternativa correta)
confiabilidade, disponibilidade e integridade
supervisão, tempestividade e controle independente
supervisão, classificação da informação e acuidade
auditoriabilidade, supervisão e usabilidade
controle de pendente, supervisão e acuidade
===============================================================================================
Referente a politicas de segurança, devemos.....marque a única opção INCORRETA
Estabelecer limites de acesso ou áreas de segurança com dispositivos de controle de entrada para efeito
de controle de acesso físico
Manter a alta gerencia não comprometida com a política de segurança da informação, já que os auditores devem trabalhar de uma forma independente
Administrar os recursos computacionais e as redes seguindo requisitos de segurança previamente definidos
Definir uma estrutura organizacional responsável pela segurança, a qual deve aprovar e revisar as Políticas de segurança, designar funções de segurança e coordenar a implantação da política.
Controlar e classificar os recursos computacionais de acordo com seu grau de confidencialidade,
prioridade e importância para a organização
===============================================================================================
O plano de back-up fornece a garantia de continuidade de serviços (críticos) a ser fornecida provendo, entre outras coisas: ...Identifique a opção INVÁLIDA
respostas de risco
atualização da biblioteca externa
backup de arquivos
acordos com terceiros através de acordos de reciprocidade
processamento alternativo através de processamento manual
===============================================================================================
A norma considerada o padrão e a referência internacional para a gestão da segurança da informação e que provê requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão da Segurança da Informação é a norma
ISO 27000
ISO 27001
ISO 17999
ISO 27012
ISO 9000
===============================================================================================
Segundo a norma ISO 19011:2011, são princípios da auditoria EXCETO.... (Marque a opção que não corresponde a um princípio da auditoria)
Abordagem baseada em conclusões
Confidencialidade
Independência
Devido cuidado profissional
Apresentação imparcial
===============================================================================================
Observando as afirmativas abaixo sobre planos de contingência:
I – Os planos de recuperação devem ser testados para que possamos medir seu desempenho
II – O plano de emergência e executado logo após aprovação
III – Em caso de execução do plano de emergência só serão processados os sistemas críticos
Podemos afirmar que a única opção correta é
I e II
I
III
II
II e III
===============================================================================================
As normas para uma gestão da segurança da informação eficiente se fundamentam em 10 premissas básicas (macrocontroles) EXCETO ... Marque a única opção INVÀLIDA.
Segurança em pessoas
Gestão da Conformidade
Segurança Física e Ambiental
Aquisição, Desenvolvimento e Manutenção de Sistemas
Disponibilidade dos recursos
===============================================================================================
A Gestão da Segurança da Informação abrange processos:
I - Voltados ao monitoramento continuo da acuidade e conformidade da informação
II - Voltados à prevenção de ataques e ao furto de equipamentos e periféricos dentro da 
empresa
III - voltados ao pronto restabelecimento dos sistemas em casos emergenciais.
Está correta a opção que inclui
Itens I e III
Só item III
Só item II
Itens I e II
Só item 
===============================================================================================
Em relação às politicas de segurança identifique a única sentença FALSA
As politicas de segurança devem ser seguidas pelos clientes.
As politicas de segurança mantém as pessoas agindo de uma forma semelhante no que diz respeito ao contexto da politica.
Uma política de segurança representa aquilo em que a empresa acredita
O texto de uma politica de segurança deve ser completo, incluindo todos os detalhes de como devemos segui-la.
As politicas de segurança devem ser seguidas pelos fornecedores
===============================================================================================
São mecanismos para o controle de acesso lógico:
Bloquear login aos sistemas e senha de colaboradores desligados da empresa tão logo esteja sendo feito o comunicado de desligamento
Supervisionar a atuação de equipes terceirizadas (limpeza, manutenção predial,vigilância, etc).
Instalar sistemas de proteção e vigilância 24 x 7 (24 horas por dia, 7 dias na semana)
Solicitar que a visita devolva sua identificação ao sair da empresa
Controle de entrada e saída de materiais, equipamentos, pessoal, etc, registrando a 
data, horários e responsável
===============================================================================================
O principio de controles internos que fala que sistemas em funcionamento devem ter procedimentos adequados para identificação e correção de erros no fluxo de processamento, inclusive nos processos executados ao mesmo tempo é chamado de
Monitoramento.
Supervisão.
Registro e Comunicação.
Auditoriabilidade.
Controle independente
===============================================================================================
Ao estudarmos o 1º Princípio do COBIT (Atender às Necessidades das Partes Interessadas). 
temos como objetivos corporativos dentre outros o portfólio de produtos e serviços competitivos, a gestão do risco do negócio (salvaguarda de ativos) e valor dos investimentos da organização percebidos pelas partes interessadas. .......... Esses objetivos corporativos estão sob a perspectiva do BSC (Balanced Scorecard) conhecida como.... marque a opção correta
cliente
interna
financeira
treinamento e crescimento
externa
===============================================================================================
Em relação a back-ups e contingências, afirme qual a única afirmativa INCORRETA
No mínimo dois níveis de back-ups devem ser guardados (pai e avô, por ciclo de processamento
Cópias de programas fonte e objetos (em disco/fita ou outra mídia) deverão ser guardadas apenas na biblioteca do data center, não guardando cópias na biblioteca externa devido ao teor de sigilo do dos programas.
Manter suficiente back-up no data center para dar suporte ao primeiro nível de recovery.
O data center deverá ter seu próprio fornecedor de força em separado
O site externo de back-up deverá ter acesso restrito
===============================================================================================
Convém que a politicas de segurança da informação contemplem requisitos oriundos da : ... Identifique a alternativa INCORRETA
De regulamentação
Da estratégia do negócio
Das metas definidas para o período
Do ambiente de ameaça da segurança da informação, atual e futuro
De legislação e contratos
Em relação a planos de emergência, assinale a única alternativa correta:
Ao se fazer um plano de emergencia devemos identificar alternativas e estratégias para assegurar a continuidade dos
serviços
Um de seus objetivos é prover todas as possibilidades de desastres
Tem por objetivo prover todos os recursos necessários para as respostas de risco
Uma de suas funções é definir o conteudo da biblioteca externa
Tem por objetivo fornecer a garantia de continuidade dos serviços através de confecção de cópias back-ups dos
arquivos transacionai
===============================================================================================