Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
ISO 27001_Dump_formatted vce
Compartilhar
Prévia do material em texto
ISO 27001 PROVA 1 Number: 000-000 Passing Score: 800 Time Limit: 120 min File Version: 1.0 Exam A Q1 Uma empresa possui um sistema ERP para gestão de seus processos de negócio. Este sistema coleta milhares de dados que são salvos em um banco de dados. Quando um gerente recebe um relatório de faturamento mensal, o que este relatório contém? A. Dados B. Dados e informações C. Informações Correct Answer: C Section: (none) Explanation Explanation/Reference: Informações são dados que possuem significados em algum contexto para o seu receptor. Quando a informação é introduzida e armazenada num computador, é geralmente referida como dado. Após o processamento (tal como a formatação e de impressão), os dados de saída podem voltar a serem percebidos como informações. Lembrar que dado sozinho não tem significado. E no relatório os dados tem que ter significado, eles precisam estar relacionados, logo teremos eles no nível de informação Answer: Q2 Um comprador enviou para o seu fornecedor dados do seu cartão de crédito para fazer o pagamento de uma fatura e no percurso estes dados foram capturados por um hacker. Quem determina o valor das informações do cartão de crédito A. Cada uma das partes determina o valor das informações de forma independente B. A legislação sobre privacidade determina a pena e, portanto, o valor C. O destinatário que pode usar os dados do cartão para fazer compras indevidas D. O remente, que poderá ter prejuízo financeiro com o vazamento destas informações Correct Answer: A Section: (none) Explanation Explanation/Reference: Neste cenário a informação tem importância (valor) para cada parte. Answer: Q3 Uma analista de PCP em uma fábrica precisa processar todo final do dia o cronograma de produção para encaminhar para o gerente de produção que o utilizará no dia seguinte. Quais aspectos de confiabilidade das informações deste cronograma são mais importantes nesta situação? A. Disponibilidade e confidencialidade B. Confidencialidade e integridade C. Continuidade e autenticidade D. Integridade e disponibilidade Correct Answer: D Section: (none) Explanation Explanation/Reference: É importante que as informações estejam corretas (integridade) para que a produção seja realizada sem erro e que o sistema esteja disponível para gerar o relatório (disponibilidade). Confidencialidade não é tão importante, porque não há um indicativo no contexto desta questão que há informações sigilosas. Answer: Q4 Quando um funcionário da área de contabilidade chega no trabalho quer acessar o sistema de automatizado de contabilidade e quer que as informações estejam disponíveis. Qual é a definição MAIS adequada para disponibilidade? A. O nível de capacidade do sistema é o suficiente para que vários usuários se conectem ao mesmo tempo B. O nível de continuidade é garantido caso aconteça algum evento de desastre C. O nível em que o sistema de informações está disponível para os usuários no momento em que eles precisam D. O tempo total de funcionamento de um sistema de informações está acessível na rede Correct Answer: C Section: (none) Explanation Explanation/Reference: A disponibilidade garante que os sistemas estão funcionando quando necessário. Answer: Q5 As contramedidas de segurança devem ser sempre ligadas aos resultados de uma avaliação de riscos e com base nos aspectos de confiabilidade e características de informação. Que tipo de contramedida visa a prevenir incidentes? A. Contramedidas preventivas B. Contramedidas redutoras C. Contramedidas investigativas D. Contramedidas repressivas Correct Answer: A Section: (none) Explanation Explanation/Reference: As medidas que tem o propósito de evitar incidentes são as preventivas. Answer: Q6 Qual é o termo usado para designar a causa potencial de um incidente indesejado que pode resultar em danos a um sistema ou organização? A. Evento B. Ameaça C. Incidente D. Vulnerabilidade Correct Answer: B Section: (none) Explanation Explanation/Reference: Ameaça é uma causa potencial de um incidente indesejado, o que pode resultar em danos a um sistema ou organização. Answer: Q7 Em uma avaliação de riscos identificamos além da ameaça o agente da ameaça. De que forma definimos este agente da ameaça? A. A entidade que tira vantagem de uma vulnerabilidade B. Pessoas que roubam informações C. Danos causados pela ameaça Correct Answer: A Section: (none) Explanation Explanation/Reference: Um risco é a probabilidade de um agente ameaçador tirar proveito de uma vulnerabilidade e do impacto do negócio correspondente. A entidade que tira vantagem de uma vulnerabilidade é referida como um agente de ameaça Answer: Q8 Qual das seguintes opções a seguir é um exemplo de ameaça? A. Brechas de segurança de autenticação no portal B. Falta de certificado SSL na loja virtual C. Divulgação de dados pessoais de clientes por conta de um hacker ter invadido o sistema D. Antivírus desatualizado no servidor Correct Answer: C Section: (none) Explanation Explanation/Reference: A ameaça é uma causa potencial de um incidente indesejável, o que pode resultar em danos a um sistema ou organização. A divulgação de dados pessoais é uma causa potencial de um incidente, logo é uma ameaça. As demais opções são brechas (vulnerabilidades). Answer: Q9 Danos resultantes da ocorrência das ameaças podem ser classificados em dois grupos. Quais são estes grupos? A. Danos graves e normais B. Danos diretos e indiretos C. Danos internos e externos D. Danos à clientes e danos â organização Correct Answer: B Section: (none) Explanation Explanation/Reference: Danos resultantes da ocorrência das ameaças acima podem ser classificados em dois grupos: Danos diretos; Danos indiretos. Answer: Q10 Qual das seguintes seria uma boa medida para evitar riscos? A. Instalar uma ferramenta de monitoramento de rede B. Ligar para o Help Desk para avisar de um incidente de disponibilidade C. Instalar atualizações do antivírus imediatamente, sempre que houver notificação do fabricante D. Apagar um incêndio Correct Answer: C Section: (none) Explanation Explanation/Reference: Instalar atualizações do antivírus imediatamente evita o risco de contaminação de vírus. Demais opções vão atuar quando o risco já ocorreu. Answer: Q11 O conceito de confidencialidade tenta impedir a divulgação intencional ou não intencional do conteúdo de uma mensagem. Qual dos seguintes é um exemplo de uma ameaça humana intencional? [Código de referência: A. Um funcionário destrói dados após ser demitido B. Um funcionário esqueceu seu desktop desbloqueado durante o horário de intervalo C. Um funcionário clicou sobre um link suspeito a partir de um e-mail de spam D. Um funcionário criou uma senha muito fraca para acessar a rede Correct Answer: A Section: (none) Explanation Explanation/Reference: As pessoas podem intencionalmente causar danos aos sistemas de informação, por várias razões. Este é um exemplo intencional Answer: Q12 Um funcionário ao ser demitido coletou várias informações de clientes estratégicos para vender a um concorrente. De que forma podemos classificar est ameaça? A. Ameaça humana não intencional B. Engenharia social C. Ameaça humana intencional Correct Answer: C Section: (none) Explanation Explanation/Reference: As pessoas podem intencionalmente causar danos aos sistemas de informação, por várias razões. A divulgação indevida das informações neste caso foi intencional. Answer: Q13 Que tipo de ameaça tem como objetivo explorar a falta de conscientização de segurança dentro de uma organização? A. Ameaça humana intencional B. Ameaça humana não intencional C. Engenharia social Correct Answer: C Section: (none) Explanation Explanation/Reference: A engenharia social tem como objetivo explorar a falta de conscientização de segurança dentro de uma organização. Ao usar expressões corretas ou nomes de pessoas conhecidas e seus departamentos dá a impressão de ser um colega de trabalho. Agindo de forma educada e parecendo confiável pode dar ao "colega" a oportunidade de obter da empresa segredos comerciais. Um engenheirosocial tira proveito dos pontos fracos das pessoas para realizar seus objetivos. A maioria das pessoas não está ciente da engenharia social e não reconhece um engenheiro social. Answer: Q14 Qual dos seguintes caracteriza a ausência ou fraqueza de uma proteção que pode ser explorada? A. Impacto B. Risco C. Agente ameaçador D. Vulnerabilidade Correct Answer: D Section: (none) Explanation Explanation/Reference: A vulnerabilidade é uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. A vulnerabilidade caracteriza a ausência ou fraqueza de uma proteção que pode ser explorada. Esta vulnerabilidade pode ser um serviço executado em um servidor, aplicativos ou software de sistema operacional não corrigidos, acesso por modem discado sem restrições, uma porta aberta em um firewall ou uma segurança física fraca que permite qualquer pessoa entrar na sala do servidor. Answer: Q15 Controles são contramedidas importantes para garantir a confiabilidade das informações. Qual dos seguintes NÃO é um exemplo de controle no tratamento de riscos? A. Aplicar os controles adequados para reduzir os riscos B. Aceitar conscientemente e objetivamente os riscos, desde que claramente satisfaça a política e critérios de aceitação de riscos da organização C. Transferir os riscos associados a outras partes, por exemplo, seguradoras ou fornecedores D. Determinar que a empresa tem uma política de neutralização de riscos Correct Answer: D Section: (none) Explanation Explanation/Reference: Controles possíveis para o tratamento do risco incluem: Aplicando os controles adequados para reduzir os riscos; Aceitar conscientemente e objetivamente os riscos, desde que claramente satisfaça a política e critérios de aceitação de riscos da organização; Evitar riscos por não permitir ações que fariam com que os riscos ocorressem; Transferindo os riscos associados a outras partes, por exemplo, seguradoras ou fornecedores. Determinar que a empresa tem uma política de neutralização de risco é algo que deve ocorrer antes da avaliação dos riscos. Answer: Q16 As medidas de segurança devem ser sempre ligadas aos resultados de uma avaliação de riscos e com base nos aspectos de confiabilidade e características de informação. Quais tipos de medidas costumam ser tomadas após a ocorrência de um incidente? A. Prevenção e detecção B. Prevenção e recuperação C. Repressão e correção D. Investigação e repressão Correct Answer: C Section: (none) Explanation Explanation/Reference: Contramedidas repressivas visam limitar um incidente. Contramedidas corretivas são destinadas a recuperar o prejuízo causado por um incidente. Answer: Q17 O objetivo de uma política que cubra o trabalho remoto (à distância) é garantir que os benefícios do mesmo possam ser alcançados sem indevidamente aumentar o risco para os ativos de informação da organização. O que não costuma fazer parte do escopo de uma política como essa? A. Provisão para equipamentos B. Segurança da informação para trabalho remoto C. Uso de equipamento para trabalho remoto D. Segregação de tarefas / responsabilidades Correct Answer: D Section: (none) Explanation Explanation/Reference: JUSTIFICATIVA: Os quatro elementos a seguir devem ser considerados ao desenvolver uma política de trabalho remoto e oferecer sugestões de estatutos políticas: Autorização; Provisão para equipamentos; Segurança da informação para trabalho remoto; Uso de equipamento para trabalho remoto. Segregação é uma medida organizacional e não está ligada diretamente ao trabalho remoto. Answer: Q18 Em relação à propriedade dos ativos, há um termo que não deve ser esquecido. É Traga o Seu Próprio Dispositivo (em inglês, Bring Your Own Device BYOD), as empresas dão aos funcionários a possibilidade de utilizar seus próprios dispositivos para trabalhar dentro da organização. Ao adotar o BYOD, uma empresa deverá assegurar a segurança e propriedade dos dados da empresa dentro dos dispositivos pessoais. De que forma a empresa pode garantir isto? A. Permitindo que o funcionário apenas utilize um dispositivo de determinada marca B. Permitindo o uso de dispositivos que tiverem em conformidade com a política BYOD da empresa C. Não permitindo que os usuários mantenham dados pessoais em seus dispositivos Correct Answer: B Section: (none) Explanation Explanation/Reference: Deve haver uma política BYOD dentro da empresa e as informações sobre os ativos BYOD devem ser protegidas. O que faz mais sentido é a organização estabelecer na política quais tipos de dispositivos podem ser utilizados no trabalho. Answer: Q19 Se alguém suspeita um material abusivo está sendo armazenado no computador de um colega, é importante que este incidente de segurança seja relatado para a área responsável o mais breve possível. Qual é uma forte razão para que este incidente de segurança primeiro seja relatado e depois resolvido? A. Para garantir que nenhuma evidência seja destruída B. Para não agravar o impacto do incidente C. Para não custar mais caro a sua resolução Correct Answer: A Section: (none) Explanation Explanation/Reference: Se alguém suspeita um material abusivo está sendo armazenado no computador de um colega, o relato do incidente tem que ser feito com cuidado para garantir que nenhuma evidência seja destruída por este colega. Ao iniciar uma investigação deve-se observar a devida diligência e devido cuidado, observando não apenas o impacto do incidente, mas também os requisitos legais e regulamentares Answer: Q20 Ao lidar com um incidente, o help desk pode fazer uma escalação hierárquica. Qual exemplo abaixo descreve uma escalação hierárquica? A. Encaminhar uma falha de segurança em um determinado aplicativo para o fornecedor do aplicativo B. Notificar o Gerente de Segurança da informação que há uma incoerência na política de acessos C. Notificar um gerente a respeito de um comportamento suspeito de um colega Correct Answer: C Section: (none) Explanation Explanation/Reference: Um exemplo de escalação hierárquico (vertical) é o de notificar um gerente a respeito de um comportamento suspeito de um colega. Quando é feito um repasse de um incidente por conta de área de competência, se trata de escalação funcional. No caso do Helpdesk, notificar o Gerente de Segurança seria uma escalação funcional, porque o gerente de segurança pode não ser superior ao gerente do helpdesk. O gerente de Segurança representa outra área funcional em relação ao helpdesk. Para ser vertical a escalação, tem que ser na hierarquia do organograma da empresa Answer: Q21 Qual tipo de categoria de contramedidas é dirigida para detectar incidentes? A. Medidas preventivas B. Medidas redutoras C. Medidas detectivas D. Medidas repressivas Correct Answer: C Section: (none) Explanation Explanation/Reference: As medidas tem o propósito de evitar incidentes (preventivas) ou reduzir ameaças (redutiva), detectar incidentes (detectivas), responder a incidentes, parar ameaças (repressivas) e corrigir danos (corretivas). Answer: Q22 A avaliação/análise de riscos ajuda a empresa a avaliar corretamente os riscos e determinar as medidas de segurança corretas e equilibradas. O que não é objetivo da avaliação/análise de riscos? A. Identificar ativos e seus valores B. Determinar vulnerabilidades e ameaças C. Determinar a estratégia para um risco D. Determinar o equilíbrio entre os custos de um incidente e os custos de medidas de segurança Correct Answer: C Section: (none) Explanation Explanation/Reference: A avaliação/análise de riscos tem quatro objetivos principais: 1. Identificar ativos e seus valores; 2. Determinar vulnerabilidades e ameaças; 3. Determinar o risco que as ameaças irão tornar realidade e impactar o processo operacional; 4. Determinar o equilíbrio entre os custos de um incidente e os custos de medidas de segurança. Answer: Q23 A classificação é utilizada para definir os diferentes níveis de sensibilidade para a qual as informações podem ser estruturadas. Classificações possíveis poderiam ser, por exemplo: com secreta, confidencialou pública. A classificação indica o tipo de segurança que é necessária para o ativo. Qual exemplo a seguir poderia ser visto como resultado da classificação de determinadas informações? A. Informações adicionais são inseridas em um arquivo sem que os usuários percebam B. Todos os dias é realizado um backup de uma pasta na rede que contém planilhas da área de marketing C. Somente os usuários com permissão podem acessar determinados documentos em uma pasta na rede Correct Answer: C Section: (none) Explanation Explanation/Reference: A classificação de informações neste caso limitou quem pode acessar determinadas informações. Answer: Q24 Qual dos seguir é um exemplo de medida de segurança física A. Uso de extintores de incêndio especiais B. Política de uso de criptografias C. Controle lógico de acesso a um sistema de contabilidade D. Política BYOD (bring your device) Correct Answer: A Section: (none) Explanation Explanation/Reference: Somente está opção é uma medida física. Políticas em geral são medidas organizacionais. Controle lógico pode se encaixar como medida técnica e organizacional. Answer: Q25 Câmeras de segurança permitem que possam ser detectadas em tempo real ações não autorizadas dentro da organização. Elas são um tipo medida de segurança física. Qual das seguintes é equivalente na medida de segurança técnica? A. Segregação de funções B. Sistema de Detecção de Invasões (Intrusion Detection System - IDS) C. Extintor de incêndio D. Criação de logins de acessos aos aplicativos Correct Answer: B Section: (none) Explanation Explanation/Reference: Sistema de detecção de intrusos ou também conhecido como Sistema de detecção de intrusão ( em inglês: Intrusion detection system - IDS) refere-se aos meios técnicos de descobrir em uma rede acessos não autorizados que podem indicar a ação de um cracker ou até mesmo de funcionários mal intencionados. Este IDS pode ser equivalente as câmeras de segurança nas medidas físicas. Answer: Q26 Não se deve permitir qualquer pessoa acessar facilmente os ativos da empresa que devem estar protegidos. Isto pode ser ilustrado simplesmente ao pensar em termos de uma série de anéis de proteção. Qual anel se refere à proteção de acesso às instalações? A. Construção / Edíficio B. Anel externo C. Espaço de trabalho D. Objeto Correct Answer: A Section: (none) Explanation Explanation/Reference: Os anéis são: O anel externo área em torno das instalações; O edifício / construção acesso às instalações; O local de trabalho as salas dentro das instalações, também conhecido como anel interno; O objeto o ativo que deve estar protegido. Answer: Q27 Laptops são roubados todos os dias. Não há muita dificuldade em detectar uma bolsa de laptop entre outras bagagens em aeroportos, tornando as coisas mais fáceis para os ladrões. Qual das seguintes é uma medida de segurança técnica eficaz para proteger a confidencialidade dos dados contidos no laptop? A. Corrente de cabo anti-roubo B. Política de conscientização para que os funcionários protejam seus laptops durante as viagens de trabalho C. Criptografia de disco Correct Answer: C Section: (none) Explanation Explanation/Reference: Criptografia é uma medida técnica. Corrente de cabo é uma medida física. Políticas são medidas organizacionais. Answer: Q28 Malware é uma combinação das palavras "malicioso" e "software" e refere-se a software indesejado. Qual dos seguintes não se encaixa nesta categoria? A. Phishing B. Virus C. Spyware D. Trojan (cavalo de tróia) Correct Answer: A Section: (none) Explanation Explanation/Reference: Phishing é uma prática de fraude na Internet e não um software malicioso. No phishing, normalmente, a vítima irá receber um e-mail pedindo-lhe para verificar ou confirmar a conta do banco ou de algum prestador de serviço. Às vezes são usadas mensagens instantâneas e até mesmo contato por telefone. É difícil de apanhar os autores de phishing. Usuários de Internet têm de permanecer particularmente vigilantes e nunca devem responder a uma solicitação de e-mail para transferir dinheiro ou enviar informações pessoais (financeiras), tais como números de contas bancárias, senhas ou detalhes do cartão de crédito. Answer: Q29 O modelo PEVA, Planejar-Executar-Verificar-Agir (ou em inglês, PDCA, Plan-Do-Check-Act), também chamado de ciclo de qualidade de Deming, forma a base da determinação, implementação, monitoramento, controle e manutenção do Sistema de Gerenciamento de Segurança da Informação (SGSI). Qual das seguintes é uma atividade da fase Planejar A. Os objetivos da segurança da informação, os processos e procedimentos pertinentes são definidos B. A política de segurança da informação e os procedimentos e medidas subjacentes são implementados C. As responsabilidades são alocadas para cada sistema e/ou processo de informação D. As correções são realizadas e são tomadas medidas preventivas, com base nos resultados da auditoria interna Correct Answer: A Section: (none) Explanation Explanation/Reference: Na fase de Planejar, uma política de segurança da informação é desenvolvida e documentada. Aqui os objetivos da segurança da informação, os processos e procedimentos pertinentes são definidos; estes garantem que os riscos sejam geridos. Estes objetivos devem, naturalmente, apoiar os objetivos de negócio da organização. As medidas de segurança podem ser adotadas com base numa análise de riscos e uma análise de custo/benefício. Answer: Q30 Acessos desnecessários aumentam o risco sobre a informação que está sendo usada intencionalmente ou não, alterada ou destruída. Qual risco é geralmente reduzido com a implementação de segregação (separações) de funções? A. Hackers tentando invadir o sistema para obter dados confidenciais de clientes B. Informações de vendas deletadas de forma acidental por um estagiário C. Acesso autorizado a informações de clientes para realizar uma venda D. Vazamento de informações confidenciais através de redes sociais Correct Answer: B Section: (none) Explanation Explanation/Reference: A segregação de funções é criada entre a organização de desenvolvimento do sistema, a organização de processamento e a organização do usuário. Um desenvolvedor do sistema não pode, por exemplo, fazer alterações aos salários. Answer: Q31 Ao criar um sistema de controle de acessos deve-se levar em conta quem precisa de acesso à informação. Qual dos seguintes garantirá que pessoas não autorizadas não tenham acesso a sistemas automatizados (aplicativos) A. Política de segregação de responsabilidades B. Gerenciamento de acesso lógico C. Política de uso de dispositivos pessoais Correct Answer: B Section: (none) Explanation Explanation/Reference: Gerenciamento de acesso lógico garante que pessoas ou processos não autorizados não têm acesso a sistemas automatizados, bases de dados e programas. Um usuário, por exemplo, não tem o direito de alterar as configurações de seu PC. Answer: Q32 O back-up pode ser usado para restaurar a última versão salva do documento, portanto, apenas uma parte dos dados é perdida caso aconteça alguma falha no PC do usuário. Em que categoria de contramedida se enquadra fazer backup-periódicos? A. Detecção B. Repressão C. Investigativa D. Seguros Correct Answer: B Section: (none) Explanation Explanation/Reference: Fazendo um back-up também é um exemplo de uma medida repressiva. Afinal, fazer um back-up periódico enquanto trabalha em um documento garante que os dados não sejam totalmente perdidos caso ocorra um incidente. O back-up pode ser usado para restaurar a última versão salva do documento, portanto, apenas uma parte dos dados é perdida. Answer: Q33 Examine abaixo cada uma das combinações de riscos de segurança e medidas de proteção propostas. Identifique entre as opções aquela em que a medida de proteção é a menos adequada diante do risco identificado. A. Risco: Acesso indevido a determinadas informações confidenciais dentro de um sistema Medida: segregação de funções B. Risco: Perda de informações não salvas devido a queda de energia Medida:Fonte de alimentação Ininterrupta (UPS) C. Risco: Perda de confidencialidade devido ao roubo de um laptop Medida: criptografia de dados D. Risco: Violação da confidencialidade da informação enviada por e-mail Medida: Fitas de cópias de segurança Correct Answer: D Section: (none) Explanation Explanation/Reference: Fitas de cópias de segurança não garantem a confidencialidade, apenas a integridade e disponibilidade. Answer: Q34 Qual anel de proteção se refere a área em torno das instalações? A. O anel externo B. O edifício / construção C. O local de trabalho D. O objeto Correct Answer: A Section: (none) Explanation Explanation/Reference: Anéis são: O anel externo área em torno das instalações; O edifício / construção acesso às instalações; O local de trabalho as salas dentro das instalações, também conhecido como anel interno; O objeto o ativo que deve estar protegido Answer: Q35 Qual dos seguintes é um exemplo de de escalação funcional (horizontal) no tratamento de incidentes? A. O help desk repassa o incidente para a equipe de redes pelo fato de não ter experiência no assunto B. Um gerente é notificado a respeito de um comportamento suspeito de um funciário C. O gerente de infraestrutura é acionado para que a equipe de redes dê maior prioridade a um incidente crítico D. Um gerente de desenvolvimento é convocado para tomar decisão em relação a uma medida para corrigir uma falha de segurança Correct Answer: A Section: (none) Explanation Explanation/Reference: Se o empregado do helpdesk não for capaz de lidar com o incidente pessoalmente (devido a insuficiente conhecimento técnico ou autoridade competente) o incidente pode ser transferido para alguém com mais experiência que pode ser capaz de resolver o problema. Isto é chamado de escalação funcional (horizontal). Answer: Q36 Qual dos seguintes tipos de lei é uma alteração do código penal para tornar mais fácil lidar com crimes cometidos por meio da tecnologia de informação avançada? A. Lei de registros públicos B. Lei de proteção de dados pessoais C. Lei de crimes cibernéticos D. Lei de acesso público à informação governamental Correct Answer: C Section: (none) Explanation Explanation/Reference: Lei de crimes cibernéticos pode ter diversos nomes em cada país. Se refere a um tipo de lei para lidar com crimes relacionados a tecnologia da informação. Answer: Q37 É um ponto importante que o cidadão possua o direito de inspecionar seus dados registrados em uma organização, desta forma as organizações devem ter uma política e procedimentos em vigor para isto. Que tipo de lei por garantir este direito do cidadão? A. Lei de registros públicos B. Lei de proteção de dados pessoais C. Lei de crimes cibernéticos D. Lei de acesso público à informação governamental Correct Answer: B Section: (none) Explanation Explanation/Reference: Este tipo de lei regulamenta o tratamento de informações relacionadas a pessoas. Answer: Q38 Qual dos seguintes se refere a um projeto de segurança para aplicações de código aberto e inclui corporações, organizações educacionais e indivíduos de todo o mundo? A. ANSI (American National Standards Institute) B. ITU-T (Sector de Normatização das Telecomunicações da Internacional Telecommunications Union) C. IEEE (Instituto de Engenheiros Elétricos e Eletrônicos) D. Open Web Application Security Project (OWASP) Correct Answer: D Section: (none) Explanation Explanation/Reference: O Open Web Application Security Project (OWASP) é um projeto de segurança para aplicações de código aberto. A comunidade OWASP inclui corporações, organizações educacionais e indivíduos de todo o mundo. Esta comunidade trabalha para criar artigos, metodologias, documentação, ferramentas e tecnologias livremente disponíveis. A OWASP Foundation é uma organização de caridade que suporta e gerencia os projetos e infraestrutura do OWASP. Answer: Q39 Um dono de um fábrica notou que tem desaparecido material em seu estoque. Qual seria a medida investigativa mais apropriada para descobrir quem está roubando na empresa? A. Contratar um detetive B. Instalar um alarme C. Instalar uma câmera escondida Correct Answer: C Section: (none) Explanation Explanation/Reference: Detectar você monitora pode identificar algo acontecendo na hora. Investigar pode exigir olhar para o histórico de algo para descobrir algo que aconteceu. Se você instala câmeras de segurança que gravam, você pode rever as gravações para esta investigação. Answer: Q40 Qual dos seguintes é um exemplo de medida de segurança física? A. Sensores de quebra de vidro - estes sensores detectam quando uma janela é quebrada B. Criptografia de dados C. Controle de acesso lógico à aplicativos D. Segregação de funções Correct Answer: A Section: (none) Explanation Explanation/Reference: Exam B Answer: Q41 Qual a relação entre dados e informações? A. Dados são informações estruturadas B. Informações são o significado e o valor atribuídos a uma coleção de dados Correct Answer: B Section: (none) Explanation Explanation/Reference: Informações são dados que têm um significado em algum contexto para seu receptor. Uma informação é coleção de dados relacionados. Answer: Q42 A fim de ter uma apólice de seguro de incêndio, o departamento administrativo deve determinar o valor dos dados que gerencia. Qual fator não é importante (ou é menos relevante) para determinar o valor dos dados para uma organização? A. O conteúdo dos dados B. O grau em que, dados ausentes incompletos ou incorretos podem ser recuperados C. A indispensabilidade dos dados para os processos de negócio. D. Importância dos processos de negócios que fazem uso dos dados. Correct Answer: B Section: (none) Explanation Explanation/Reference: Conforme slide 29 do módulo 1, quanto maior o contexto se tiver sobre uma informação, maior a capacidade de determinar o seu valor. Opção A - O conteúdo dos dados não determina o seu valor isoladamente. É importante considerar que o conteúdo dos dados só tem valor quando analisado em um contexto. Precisamos saber para que os dados são usados, onde eles são indispensáveis, para determinar se o seu conteúdo é importante ou não. Opção B - O grau de recuperação pode indicar a importância da informação. Geralmente uma informação que tem uma recuperação mais rápida por conta do backup contínuo, indica que ela tem maior importância para o negócio. Opção C - Se a informação é indispensável nos processos de negócio, então ela tem importância. Opção D - Se a informação é usada em processos de negócio críticos para a organização, então ela tem maior importância também. Answer: Q43 Um hacker obtém acesso a um servidor Web e pode visualizar um arquivo no servidor que contém números de cartão de crédito de clientes. Qual principio da confiabilidade da informação foi violado neste caso? A. Disponibilidade B. Confidencialidade C. Integridade Correct Answer: B Section: (none) Explanation Explanation/Reference: O hacker conseguiu ler o arquivo, então confidencialidade foi violada. Se ele tivesse alterado o conteúdo deste arquivo, então a integridade teria sido violada. Se ele tivesse provocada uma falha e o servidor ficasse indisponível, então a disponibilidade teria sido violada. Answer: Q44 Existe uma impressora de rede no corredor da empresa onde você trabalha. Muitos funcionários não vão pegar suas impressões imediatamente e deixam o material na impressora. Quais são as consequências disto com relação à confiabilidade das informações? A. A integridade das informações não pode mais ser garantida B. A disponibilidade das informações não pode mais ser garantida C. A confidencialidade das informações não pode mais ser garantida Correct Answer: C Section: (none) Explanation Explanation/Reference: Considerando que o documento foi impresso a partir de um arquivo salvo no computador e somente cópia impressa deste arquivo pode ser sido visualizada por pessoas indevidas, então apenas a confidencialidade da informação seria violada. Esta confidencialidade pode ser violada porque há a possibilidade que qualquerum passar na impressora e retirar o material. Não é mencionado no enunciado em nenhum lugar que a fonte da informação está sendo manipulada, então a integridade e nem a disponibilidade estão correndo risco de serem violadas. Answer: Q45 Uma avaliação/análise de riscos bem executada oferece uma grande quantidade de informações úteis. A análise de riscos tem quatro principais objetivos. Qual das opções abaixo não é um dos quatro principais objetivos da avaliação/análise de riscos? A. Identificação dos ativos e seus valores B. Implementação de contramedidas C. Estabelecimento do equilíbrio entre os custos de um incidente e os custos de medidas de segurança D. Determinação de vulnerabilidades e ameaças relevantes Correct Answer: B Section: (none) Explanation Explanation/Reference: Este não é um objetivo de uma avaliação/análise de risco. As contramedidas (respostas para os riscos) são implementadas depois da avaliação de riscos, então elas não são implementadas como parte disto. Answer: Q46 Um departamento administrativo vai determinar os riscos aos quais está exposto. Como denominamos um possível evento que possa comprometer a confiabilidade da informação? A. Dependência B. Ameaça C. Vulnerabilidade D. Risco Correct Answer: B Section: (none) Explanation Explanation/Reference: A ameaça é um evento possível que pode comprometer a confiabilidade da informação. A vulnerabilidade é o que permite este evento ocorrer. Answer: Q47 Qual é o propósito final do gerenciamento de riscos? A. Determinar a probabilidade de ocorrência de um certo risco. B. Determinar os danos causados por possíveis incidentes de segurança C. Delinear as ameaças a que estão expostos os recursos de TI D. Utilizar medidas para reduzir os riscos para um nível aceitável. Correct Answer: D Section: (none) Explanation Explanation/Reference: O propósito final do gerenciamento de riscos é o de reduzir os riscos para um nível aceitável. Nós gerenciamos riscos com uma intenção proativa, atuamos antes de um risco acontecer. Answer: Q48 Há alguns anos você começou sua empresa, que já cresceu de 1 para 20 funcionários. As informações de sua empresa valem mais e mais e já passaram os dias em que você podia manter tudo em suas próprias mãos. Você está ciente de que precisa tomar medidas, mas quais? Você contrata um consultor, que o aconselha a começar com uma análise de riscos qualitativa. O que é uma análise de riscos qualitativa? A. Esta análise segue um cálculo preciso de probabilidade estatística a fim de calcular a exata perda causada pelo dano B. Esta análise é baseada em cenários e situações e produz uma visão subjetiva de possíveis ameaças Correct Answer: B Section: (none) Explanation Explanation/Reference: Uma análise de riscos qualitativa envolve a definição de diversas ameaças, determinando a extensão das vulnerabilidades e elaborando contramedidas, caso ocorra um ataque. Answer: Q49 Houve um incêndio em uma filial da companhia Midwest Insurance. Os bombeiros chegaram rapidamente ao local e puderam apagar o fogo antes que se espalhasse e queimasse toda a instalação. O servidor, entretanto, foi destruído pelo fogo. As fitas de segurança (backup) mantidas em outra sala derreteram e muitos outros documentos foram perdidos definitivamente. Qual é um exemplo de dano indireto causado pelo incêndio? A. Fitas de segurança (backup) derretidas B. Sistemas de computação queimados C. Documentos queimados D. Danos provocados pela água dos extintores de incêndio Correct Answer: D Section: (none) Explanation Explanation/Reference: Danos provocados pela água em função dos extintores de incêndio são danos indiretos causados pelo fogo. Este é um efeito colateral de apagar o fogo, que visa minimizar os danos causados pelo fogo. E o dano direto do fogo foi o servidor destruído e fitas de backup derretidas. Answer: Q50 Você é o proprietário de uma companhia de correio (courier), SpeeDelivery. Você realizou uma avaliação de riscos e agora quer determinar sua estratégia de riscos. Você decide tomar medidas contra os grandes riscos, mas não contra os pequenos riscos. Como é chamada a estratégia de riscos adotada nestecaso contra os pequenos riscos? A. Retenção de risco B. Prevenção de risco C. Redução de risco Correct Answer: A Section: (none) Explanation Explanation/Reference: Isso significa que certos riscos são aceitos. E na estratégia retenção há aceitação do ônus da perda ou do benefício do ganho associado. Answer: Q51 O que é um exemplo de uma ameaça humana? A. Um pen drive que passa vírus para a rede. B. Muito pó na sala do servidor C. Uma oscilação de energia que causa uma falha no fornecimento de eletricidade. Correct Answer: A Section: (none) Explanation Explanation/Reference: Um pen drive que passa vírus para a rede sempre é inserido por uma pessoa. Desta forma, um vírus que entra na rede, por esse meio é uma ameaça humana. Answer: Q52 O que é um exemplo de uma ameaça humana? A. Um relâmpago B. Fogo C. Phishing Correct Answer: C Section: (none) Explanation Explanation/Reference: Phishing (atrair usuários para sites falsos, por exemplo) é uma forma de ameaça humana. Demais opções são ameaças não humanas. Answer: Q53 Você trabalha no escritório de uma grande companhia. Você recebe um telefonema de uma pessoa dizendo ser do helpdesk. Ela pede para que você lhe diga sua senha. Que tipo de ameaça é esta? A. Ameaça natural B. Ameaça organizacional C. Engenharia social Correct Answer: C Section: (none) Explanation Explanation/Reference: A engenharia social, no contexto de segurança da informação, refere-se a manipulação psicológica de pessoas para a execução de ações ou divulgar informações confidenciais. O uso de expressões ou nomes corretos de pessoas conhecidas e seus departamentos dá a impressão de que é um colega tentando obter segredos da empresa e segredos comerciais. Você deve verificar se está realmente falando com o helpdesk. Um funcionário do helpdesk jamais solicitará sua senha. Answer: Q54 Um incêndio interrompe os trabalhos da filial de uma empresa de seguros de saúde. Os funcionários são transferidos para escritórios vizinhos para continuar seu trabalho, pois este era um plano previamente definido caso acontecesse este tipo de desastre. No ciclo de vida do incidente, onde são encontrados os acordos stand-by (plano de contingência)? A. Entre a ameaça e o incidente B. Entre a recuperação e a ameaça C. Entre os danos e a recuperação D. Entre o incidente e os danos Correct Answer: C Section: (none) Explanation Explanation/Reference: Um arranjo de stand-by (plano de contingência ou também conhecido como um plano B) um de uma medida corretiva. É um meio para recuperar um serviço quando acontece algum evento de desastre. Exemplos: - O uso de um escritório diferente para realocar o pessoal em caso de enchente ou incêndio; - Reinstalar aplicativo e banco de dados a um aplicativo web em um servidor na nuvem caso o servidor local não possa ser recuperado prontamente. Por ser uma medida corretiva, ela é usada como recuperação após um algum dano ter ocorrido, como por exemplo, um serviço ter ficado indisponível. Answer: Q55 Informações envolvem inúmeros aspectos de confiabilidade, a qual é constantemente ameaçada. Exemplos de ameaças são: um cabo se soltar, informações alteradas por acidente, dados que são usados para fins particulares ou falsificados. Qual destes exemplos é uma ameaça à integridade? A. Um cabo solto B. Exclusão acidental de dados C. Utilização privada de dados Correct Answer: B Section: (none) Explanation Explanation/Reference: Para uma informação estar íntegra, ela tem que estar inteira. Íntegro é sinônimo de inteiro, completo, total. Se dados foram excluídos ou alterados de forma acidental, a informação deixou de estar inteira. Logo a opção corretamente somente pode ser B. A opção C não tem nenhuma relação com integridade. Uma informação privada geralmente está relaciona a dados de pessoas físicas. Isso diz respeito a privacidade. Se alguém, com autorização, está consultando ou fazendo utilizandoprivada de dados, isso não está violando de forma alguma integridade, pois a informação continuará inteira. Neste caso, apenas a privacidade poderá ser violada. Por exemplo, alguém conseguiu acessar dados de um paciente em um hospital sem ter direito de acesso, neste caso a privacidade dos dados foi violada. Answer: Q56 Um funcionário nega ter enviado uma mensagem específica que outra pessoa diz ter recebido deste funcionário. Qual o aspecto de confiabilidade da informação está em risco aqui? A. Disponibilidade B. Exatidão C. Integridade D. Confidencialidade Correct Answer: C Section: (none) Explanation Explanation/Reference: negação do envio (ou repúdio) de uma mensagem está relacionada ao aspecto de integridade. O não repúdio é aspecto importante para garantir a integridade. Answer: Q57 Qual a melhor maneira de descrever o objetivo da política de segurança da informação? A. A política documenta a análise de riscos e a busca de contramedidas B. A política fornece orientação e apoio à gestão em matéria de segurança da informação. C. A política torna o plano de segurança concreto, fornecendo-lhe os detalhes necessários D. A política fornece percepções sobre as ameaças e as possíveis consequências Correct Answer: B Section: (none) Explanation Explanation/Reference: A política de segurança da informação contém diretrizes que determinam as linhas mestras que devem ser seguidas pela organização para que sejam assegurada a segurança dos recursos computacionais e suas informações. Portanto, seu objetivo é de orientar. Answer: Q58 Um incidente de segurança relacionado com um servidor Web é relatado a um funcionário do helpdesk. Sua colega tem mais experiência em servidores Web, então ele transfere o caso para ela. Qual termo descreve essa transferência? A. Escalonamento funcional B. Escalonamento hierárquico Correct Answer: A Section: (none) Explanation Explanation/Reference: Se o funcionário do helpdesk não conseguir lidar com o incidente por falta de conhecimento, então o incidente pode ser repassado a alguém com mais experiência que possa ser capaz de resolver o caso. Isso se chama escalação funcional Answer: Q59 Uma funcionária de uma companhia de seguros descobre que a data de validade de uma política foi alterada sem seu conhecimento. Ela é a única pessoa autorizada a fazer isso. Ela relata este incidente de segurança ao helpdesk. O atendente do helpdesk registra as seguintes informações sobre este incidente: - data e hora - descrição do incidente - possíveis consequências do incidente Qual a informação mais importante sobre o incidente está faltando acima? A. O nome da pessoa que reportou o incidente B. O nome do pacote de software C. O número do PC D. Uma lista de pessoas que foram informadas sobre o incidente Correct Answer: A Section: (none) Explanation Explanation/Reference: Ao registrar um incidente, no mínimo o nome do usuário que reportou o incidente deve ser registrado. Isto é importante para depois dar retorno a este usuário. Answer: Q60 No ciclo de incidente há quatro etapas sucessivas. Qual é a etapa que sucede o incidente? A. Ameaça B. Dano C. Recuperação Correct Answer: B Section: (none) Explanation Explanation/Reference: A ordem das etapas do ciclo do incidente é: ameaça, incidente, dano e recuperação. Answer: Q61 Qual das seguintes medidas é uma medida preventiva? A. Instalação de um sistema de registro de eventos (log) que permite que mudanças em um sistema sejam reconhecidas B. Desativação de todo tráfego internet depois que um hacker ganhou acesso aos sistemas da companhia C. Armazenamento de informações sigilosas em um cofre Correct Answer: C Section: (none) Explanation Explanation/Reference: Armazenamento de informações sigilosas em um cofre previne que estas informações caiam na mão de pessoas erradas. Este tipo de medida está protegendo a confidencialidade destas informações. Desativação de todo tráfego internet depois que um hacker ganhou acesso aos sistemas da companhia é uma medida repressão (o incidente já ocorreu, então não previne). Instalação de um sistema de registro de eventos (log) que permite que mudanças em um sistema sejam reconhecidas é uma medida detectiva, ajudará a detectar mudanças indevidas (detecta o incidente, mas não o previne). Answer: Q62 Qual das opções abaixo é uma medida repressiva em caso de incêndio? A. Fazer um seguro contra incêndio B. Apagar o fogo depois que o incêndio for detectado pelo detector de incêndio C. Reparar os danos causados pelo incêndio Correct Answer: B Section: (none) Explanation Explanation/Reference: Apagar o fogo é uma medida repressiva para que o fogo não se alastre e os danos sejam maiores. Já a medida reparar os danos causados pelo incêndio é corretiva. Answer: Q63 Qual é o objetivo da classificação da informação? A. Criar um manual sobre como manusear dispositivos móveis B. Aplicar identificações que facilitem o reconhecimento das informações C. Estruturar as informações de acordo com sua confidencialidade Correct Answer: C Section: (none) Explanation Explanation/Reference: A classificação de informações é utilizada para definir os diferentes níveis de confidencialidade nos quais as informações podem ser estruturadas. Answer: Q64 Quem é autorizado a mudar a classificação de um documento? A. O autor do documento B. O administrador do documento C. O proprietário do documento D. O gerente do proprietário do documento Correct Answer: C Section: (none) Explanation Explanation/Reference: O proprietário do documento deve assegurar que o ativo seja classificado ou reclassificado, se necessário. Portanto, ele está autorizado a alterar a classificação de um documento. Answer: Q65 O acesso à sala de computadores está bloqueado por um leitor de crachás. Somente o Departamento de Gerenciamento de Sistemas tem um crachá. Que tipo de medida de segurança é essa? A. Uma medida de segurança corretiva B. Uma medida de segurança física C. Uma medida de segurança lógica D. Uma medida de segurança repressiva Correct Answer: B Section: (none) Explanation Explanation/Reference: Esta é uma medida de segurança física, pois está controlando o acesso de pessoas à uma sala. Answer: Q66 A autenticação forte é necessária para acessar áreas altamente protegidas. Em caso de autenticação forte a identidade de uma pessoa é verificada através de três fatores. Qual fator é verificado quando é preciso mostrar um crachá de acesso? A. Algo que você é B. Algo que você tem C. Algo que você sabe Correct Answer: B Section: (none) Explanation Explanation/Reference: Um crachá de acesso é um exemplo de algo que você tem. Answer: Q67 Na segurança física, múltiplas zonas em expansão (anéis de proteção) podem ser aplicadas, nas quais diferentes medidas podem ser adotadas. Qual dos seguintes não é um anel de proteção típico? A. Edifício B. Anel médio C. Objeto D. Anel externo Correct Answer: B Section: (none) Explanation Explanation/Reference: São anéis de proteção: anel externo (área ao redor das instalações), edifício (acesso às instalações), espaço de trabalho (as salas das instalações, também conhecidas como anel interno), objeto (o ativo que deve ser protegido). Não existe um anel médio. Answer: Q68 Qual das ameaças listadas abaixo pode ocorrer como resultado da ausência de uma medida de segurança física? A. Um usuário pode ver os arquivos pertencentes a outro B. Um servidor é desligado por causa de superaquecimento C. Um documento confidencial é deixado na impressora D. Hackers podem entrar livremente na rede de computadores Correct Answer: B Section: (none) Explanation Explanation/Reference: A segurança física inclui também a proteção de equipamentos por meio do controle de temperatura (arcondicionado, umidade do ar). Portanto, um servidor é desligado por causa de superaquecimento indica falta de uma medida física. Answer: Q69 Qual das seguintes medidas de segurança é uma medida técnica? A. Atribuição de informações a um proprietário B. Criptografia de arquivos C. Criação de uma política que define o que ée não é permitido no e-mail D. Armazenamento de senhas de gerenciamento do sistema em um cofre Correct Answer: B Section: (none) Explanation Explanation/Reference: Esta é uma medida técnica de TI que impede que pessoas não autorizadas leiam as informações confidenciais. Answer: Q70 As cópias de segurança (backup) do servidor central são mantidas na mesma sala fechada que o servidor. Que risco a organização enfrenta? A. Se o servidor falhar, levará um longo tempo antes que o servidor esteja novamente em funcionamento. B. Em caso de incêndio, é impossível recuperar o sistema ao seu estado anterior. C. Ninguém é responsável pelos backups D. Pessoas não autorizadas têm acesso fácil aos backups. Correct Answer: B Section: (none) Explanation Explanation/Reference: A chance de que as cópias de segurança também possam ser destruídas em um incêndio é muito grande. O é que os backups sejam salvos em um local diferente. Answer: Q71 Que tipo de malware cria uma rede de computadores contaminados? A. Bomba Lógica B. Storm Worm ou Botnet C. Cavalo de Tróia D. Spyware Correct Answer: B Section: (none) Explanation Explanation/Reference: Os cibercriminosos utilizam vírus especiais para provocar falhas de segurança em computadores de vários utilizadores e assumir o controle de cada um dos computadores a fim de organizar todas as máquinas infetadas numa rede de "bots" que os criminosos podem gerir de forma remota. É frequente que os cibercriminosos procurem infetar e controlar milhares de computadores para poderem atuar como gestores de uma grande "rede zombie" ou "rede bot", com capacidade para executar um ataque de negação de serviço distribuído (DDoS), uma campanha de spam em grande escala ou outros tipos de ciberataque. Answer: Q72 Em uma organização, o agente de segurança detecta que a estação de trabalho de um funcionário está infectada com software malicioso. O software malicioso foi instalado como resultado de um ataque direcionado de phishing. Qual ação é a mais benéfica para evitar esses incidentes no futuro? A. Implementar a tecnologia MAC B. Iniciar um programa de conscientização de segurança C. Atualizar as regras do firewall D. Atualizar as assinaturas do filtro de spam Correct Answer: B Section: (none) Explanation Explanation/Reference: A vulnerabilidade inerente a essa ameaça é a falta de consciência do usuário. Os usuários são convencidos, nesses tipos de ataques, a executar algum código que viola a política (por exemplo, instalar software suspeito). Combater esse tipo de ataques com um programa de conscientização de segurança reduzirá a possibilidade de recorrência no futuro. Answer: Q73 Você trabalha no departamento de TI de uma empresa de tamanho médio. Informações confidenciais têm caído em mãos erradas por várias vezes. Isso tem prejudicado a imagem da companhia. Você foi solicitado a propor medidas de segurança organizacional em laptops para sua companhia. Qual o primeiro passo que você deveria dar? A. Formular uma política para tratar da segurança de dispositivos móveis (PDAs, laptops, smartphones, pen drive) B. Designar uma equipe de segurança C. Criptografar os discos rígidos dos laptops e mídias de armazenamento externo, como pen drives D. Estabelecer uma política de controle de acesso Correct Answer: A Section: (none) Explanation Explanation/Reference: A política sobre como usar dispositivos móveis é uma medida organizacional, e medidas de segurança para laptops são primordiais neste caso. Answer: Q74 Qual é o nome do sistema que garante a coerência da segurança da informação na organização? A. Sistema de Gestão de Segurança da Informação (SGSI) B. Rootkit C. Regulamentos de segurança para informações especiais do governo. Correct Answer: A Section: (none) Explanation Explanation/Reference: O SGSI é descrito na norma ISO/IEC 27001. SGSI é parte do sistema de gestão geral, com base numa abordagem de risco da empresa, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação. Answer: Q75 Como se chama a etapa de "definir se a identidade de alguém é correta" no processo de concessão de acesso? A. Autenticação B. Autorização C. Identificação Correct Answer: A Section: (none) Explanation Explanation/Reference: É na etapa autenticação que é verificado se a identificação do usuário confere com a sua senha e então o login é autêntico (correto). Na etapa de identificação o usuário apenas informa sua identificação, considere que ali não ocorre validação alguma. Answer: Q76 Por que é necessário manter um plano de recuperação de desastres (PRD) atualizados e testá-lo regularmente? A. A fim de sempre ter acesso às cópias de segurança (backups) recentes, que estão localizadas fora do escritório B. Para ser capaz de lidar com as falhas que ocorrem diariamente C. Porque, de outra forma, na eventualidade de uma grande interrupção, as medidas tomadas e os procedimentos previstos podem não ser adequados ou podem estar desatualizados. D. Porque isso é exigido pela Lei de Proteção de Dados Pessoais Correct Answer: C Section: (none) Explanation Explanation/Reference: Uma grande interrupção requer planos atualizados e testados. Answer: Q77 Com base em qual legislação alguém pode pedir para inspecionar seus dados pessoais que tenham sido registrados (em países onde a lei é aplicável)? A. A Lei de Registros Públicos B. A Lei de Proteção de Dados Pessoais C. A Lei de Crimes de Informática D. A Lei de Acesso Público a Informações do Governo Correct Answer: B Section: (none) Explanation Explanation/Reference: O direito de inspeção pode ser regulado pela Lei de Proteção de Dados Pessoais. Answer: Q78 Qual é a lei ou ato regulatório relacionado à segurança da informação que pode ser imposto a todas as organizações (em países onde a lei é aplicável)? A. ISO/IEC 20000 B. ISO/IEC 27001 C. ISO/IEC 27002 D. Legislação de proteção de dados pessoais Correct Answer: D Section: (none) Explanation Explanation/Reference: Todas as organizações devem ter uma política e procedimentos para proteção de dados pessoais, que devem ser conhecidos por todos que processam dados pessoais. Answer: Q79 Você é o proprietário de uma companhia de correio (courier), SpeeDelivery. Você emprega algumas pessoas que, enquanto esperam para fazer as entregas, podem realizar outras tarefas. Você percebe, no entanto, que eles usam esse tempo para enviar e ler seus e-mails particulares e navegar na Internet. Em termos legais, de que forma o uso da internet e do e-mail pode ser melhor regulado? A. Instalando um aplicativo que impeça o acesso a certos sites da Internet e que realizem filtragem em arquivos anexados a e-mails B. Elaborando um código de conduta para o uso da internet e do e-mail, no qual os direitos e obrigações tanto do empregador quanto dos empregados estejam claramente declarados C. Implementando normas de privacidade D. Instalando rastreadores de vírus Correct Answer: B Section: (none) Explanation Explanation/Reference: Em um código de conduta, a utilização da Internet e do e-mail pode ser documentada, quais sites podem ou não ser visitados e até que ponto o uso privativo é permitido. Estas são normas internas. Answer: Q80 Em quais condições é permitido a um empregador verificar se os serviços de Internet e e-mail no ambiente de trabalho estão sendo utilizados para finalidades pessoais? A. O empregador poderá fazer essa verificação, se o funcionário for informado depois de cada sessão de verificação B. O empregador poderá fazer essa verificação se os funcionários forem informados que isso pode acontecer C. O empregador poderá fazer essa verificação se um firewall também estiver instalado Correct Answer: B Section: (none) Explanation Explanation/Reference: Os funcionários devem saber que o empregador tem o direito de monitorar o uso dos recursos de TI, isto pode estar explícito no código de conduta assinado pelo funcionário. Exam C Answer: Q81 Encontramos muitos dados nos bancos gerenciados pela TI. No entanto, dados isolados não têm muito valor parao negócio. Eles têm valor quando são transformados em informação com significado. Como dados se transformam em informação? A. Por meio de análise de dados B. Por meio de backup C. Por meio de arquivamento em mídias D. Por meio de duplicação de dados Correct Answer: A Section: (none) Explanation Explanation/Reference: Dados podem ser processados pela tecnologia da informação, mas se tornam informação quando adquirem certo significado. A partir de um processo de análise podemos relacionar os dados para gerar alguma informação com significado. Por exemplo, uma data de nascimento xx/xx/xx isoladamente não tem muita importância, mas se este dado for associado com outro dado como o nome do usuário, já tem um significado maior. Answer: Q82 Um funcionário da equipe de vendas envia por engano um documento contendo o catálogo de produtos que a empresa vai lançar daqui a 6 meses. Quem determina o valor das informações deste documento? A. Neste caso, cada uma das partes determina o valor das informações de forma B. A legislação sobre privacidade de dados de clientes C. O destinatário, que pode vender a informação para a concorrência D. O remetente, que somente poderia utilizar a informação internamente Correct Answer: A Section: (none) Explanation Explanation/Reference: Enquanto algumas pessoas podem considerar um determinado conjunto de dados desinteressante, outras podem ser capazes de extrair informações valiosas a partir dele. Geralmente é o destinatário (que recebe a informação) que determina o valor. Mas neste caso houve um engano, então cada uma das partes vai avaliar o valor da informação de forma diferente. Answer: Q83 A confiabilidade da informação é determinada primariamente por três aspectos: 1. Confidencialidade 2. Integridade 3. ? A. Prestação de contas B. Autenticidade C. Individualidade D. Disponibilidade Correct Answer: D Section: (none) Explanation Explanation/Reference: Um programa de segurança pode ter vários objetivos grandes e pequenos, mas os princípios mais importantes em todos os programas de segurança são confidencialidade (exclusividade), integridade e disponibilidade. Estas são referidas como o triângulo CID. O nível de segurança necessário para realizar esses princípios é diferente para cada empresa, pois cada uma tem a sua própria combinação única de negócio e objetivos de segurança e exigências. Todos os controles de segurança, mecanismos e salvaguardas são implementados para fornecer um ou mais desses princípios, e todos os riscos, ameaças e vulnerabilidades são medidos por sua capacidade potencial de comprometer um ou todos os princípios CID. Answer: Q84 Você terceirizou o desenvolvimento de um aplicativo de negócio. Entretanto, você não quer que alguns dados da sua organização vazem para o mercado por meio deste fornecedor. Qual aspecto da confiabilidade das informações você quer proteger? A. Confidencialidade B. Integridade C. Disponibilidade D. Todos Correct Answer: A Section: (none) Explanation Explanation/Reference: Confidencialidade é o grau em que o acesso à informação é restrito a um grupo definido autorizado a ter tal acesso. Isto também inclui medidas para proteger a privacidade. Answer: Q85 Você identifica na sua organização que muitos funcionários que são desligados da empresa continuam ainda com seus logins ativos nos sistemas web usados no negócio. Diante desta constatação, que característica do gerenciamento do risco está ausente? A. Vulnerabilidade B. Ameaça C. Controle de segurança D. Impacto no negócio Correct Answer: D Section: (none) Explanation Explanation/Reference: Se for considerar conceito de risco isoladamente, lembre-se que o risco vincula a vulnerabilidade, a ameaça e a probabilidade de exploração ao impacto de negócio resultante. O enunciado não apresenta o impacto no negócio, apenas apresenta vulnerabilidade e ameaça. Então, como parte do conceito de risco, estaria faltando saber qual é o impacto se um funcionário desligado acessar um sistema web, o que ele pode fazer com esse acesso? Answer: Q86 Você está fazendo uma avaliação de riscos no data center da sua empresa. O data center fica retirado da cidade, entretanto a possibilidade de incêndio não está totalmente descartada. Qual das seguintes afirmativas é correta neste caso? A. O risco de fogo é a ameaça de fogo multiplicada pela probabilidade que o fogo aconteça e o impacto que isto terá B. A ameaça de fogo é o risco de fogo multiplicado pela probabilidade que o foco aconteça e o impacto que isto terá Correct Answer: A Section: (none) Explanation Explanation/Reference: Um risco é a probabilidade de um agente de ameaça tirar proveito de uma vulnerabilidade e o impacto correspondente nos negócios. Se um firewall tem várias portas abertas, há uma probabilidade maior de um intruso usar uma porta para acessar a rede de forma não autorizada. Risco une vulnerabilidade, ameaça e possibilidade de exploração para o impacto nos negócios resultante. Podemos dizer que risco = ameaça x probabilidade x impacto. Answer: Q87 De que forma podemos descrever o que significa a expectativa de perda anual? [Código de referência: A. É o total de danos que podem ocorrer relacionados a uma ameaça durante o ano B. É a média dos danos calculada pelas companhias de seguro do país C. É a média de todos os danos ocorridos durante o ano D. Nenhuma das alternativas anteriores Correct Answer: A Section: (none) Explanation Explanation/Reference: A expectativa de perda anual é uma quantidade que é atribuída a vários eventos relacionados a uma ameaça durante um ano. Answer: Q88 Que tipo de ameaça humana se refere ao usuário excluir dados de um sistema pressionando a tecla DELETE e depois clicando OK sem querer? A. Ameaças humanas não intencionais B. Ameaças humanas intencionais C. Engenharia social D. Ameaças humanas de sistema Correct Answer: A Section: (none) Explanation Explanation/Reference: Ameaças humanas: 1. Intencionais: hacking, danos materiais, apagar e-mails ao ser demitido. 2. Não intencionais: exclusão de dados clicando descuidadamente na confirmação OK. 3. Engenharia social: enganar pessoas para fornecerem voluntariamente informações sigilosas (phishing). Answer: Q89 Danos podem ocorrer em um incidente de segurança. Quais são os dois principais tipos de danos? A. Dano indireto e dano direto B. Prejuízo financeiro e prejuízo intangível C. Dano imediato e dano a longo prazo D. Dano tangível e dano intangível Correct Answer: A Section: (none) Explanation Explanation/Reference: Dano direto: perda direta pelo incidente de segurança. Exemplo: roubo de um notebook. Dano indireto: a consequente perda que possa ocorrer. Exemplo: devido a um data center inundado, serviços de TI não podem ser fornecido causando perda de receita para o negócio. Answer: Q90 Você trabalha em um laboratório que lida com informações de natureza muito sensível. Dados dos exames de pacientes não podem ser acessados por qualquer pessoa. Por este fato, a alta gerência decidiu implementar medidas de segurança de alto nível. Como é chamada esta estratégia de risco? [Código de referência: A. Reter o risco (também conhecida como aceitar o risco) B. Prevenir o risco (também conhecida como evitar o risco) C. Reduzir o risco (também conhecida como neutralizar o risco) D. Mitigar o risco (também conhecida como reduzir o risco) Correct Answer: B Section: (none) Explanation Explanation/Reference: Como o enunciado descreve que foram tomadas medidas de alto nível, se pressupõe que sejam para evitar incidentes de segurança, especialmente relacionado a privacidade dos dados de pacientes. Neste caso, está sendo utilizada a estratégia prevenir o risco (ou evitar o risco). Answer: Q91 O data center da sua empresa está em um prédio que não tem para-raios. Se um raio atingir a rede elétrica a sobrecarga certamente afetará o funcionamento dos servidores. Que tipo de ameaça existe nesta situação? A. Ameaça elétrica B. Ameaça ocasional C. Ameaça não humana D. Ameaça não intencional Correct Answer: C Section: (none) Explanation Explanation/Reference:Ameaças não humanas incluem todas que se referem a eventos da natureza, como raios, inundações, etc Answer: Q92 Um funcionário foi demitido e antes de sair apagou todos os arquivos do departamento que estavam em um diretório compartilhado na rede. Apesar da a empresa ter um backup, não foi possível restaurar a versão mais recente dos documentos. Como é chamado este tipo de ameaça? A. Ameaça humana intencional B. Ameaça humana não intencional C. Engenharia social D. Ameaça funcional Correct Answer: A Section: (none) Explanation Explanation/Reference: Ameaça humana intencional ocorre quando as pessoas podem intencionalmente causar danos aos sistemas de informação, por várias razões. Normalmente pensamos em alguém de fora, como um hacker que deseja entrar na rede e causar danos. No entanto, pode ser também um funcionário da empresa que destrói dados ao ser demitido, ou que, por não conseguir a promoção que queria, se vinga destruindo dados ou vendendo-os para a concorrência. Answer: Q93 Um funcionário pediu ao seu gerente um aumento de salário e este foi negado. Como maneira de se vingar, ele decidiu apagar vários dados de clientes no sistema ERP. Que tipo de ameaça temos neste caso? A. Engenharia social B. Ameaça humana C. Ameaça de sistemas D. Ameaça funcional Correct Answer: B Section: (none) Explanation Explanation/Reference: É uma ameaça humana intencional. Answer: Q94 Existem quatro tipos de estratégia de risco comuns. Além de evitar, reduzir, transferir, qual outra estratégia existe? A. Aceitar (ou suportar) o risco B. Apagar o risco C. Assegurar o risco D. Terceirizar o risco Correct Answer: A Section: (none) Explanation Explanation/Reference: As quatro estratégias comuns são: - Evitar (prevenir) o risco - Neutralizar (reduzir ou mitigar) o risco - Transferir o risco - Aceitar (suportar ou reter) o risco Answer: Q95 Uma empresa permite que seus funcionários possam trabalhar remotamente. Qual característica da confiabilidade das informações está em risco se um funcionário perder um notebook durante o percurso do trabalho contendo vários documentos de trabalho até a sua casa? A. A integridade B. A disponibilidade C. A confidencialidade D. Há mais de uma alternativa correta Correct Answer: D Section: (none) Explanation Explanation/Reference: Neste caso mais de um aspecto da informação pode ter sido afetado. Se o documento estava somente dentro deste notebook, as informações não estarão mais disponíveis para o funcionário continuar trabalhando. Além disto, quem achar este notebook vai poder ler estes documentos, logo eles vão perder seu grau de confidencialidade. Answer: Q96 As cópias de segurança (backups) são armazenadas em uma sala com controle de acesso físico. Além disto, também há um sistema de alarme contra intrusão e um contra incêndio (sprinklers). Qual destes é uma medida de detecção? A. Processo de backup B. Alarme contra intrusão C. Sistema contra incêndio (sprinklers) D. Porta com senha de acesso Correct Answer: B Section: (none) Explanation Explanation/Reference: Medidas detectivas servem para detectar incidentes de segurança. O alarme contra intrusão detecta que alguém invadiu a sala (o incidente de segurança ocorreu).Os sprinklers são uma medida repressiva, para parar as consequências de incidentes de segurança. Answer: Q97 Todos os funcionários, quando admitidos na organização, devem ler e assinar um código de conduta. Para que serve este código? A. Para ajudar a evitar o uso indevido dos equipamentos (e instalações) de TI B. É uma obrigação legal trabalhista C. Para impedir a entrada de um hacker na organização D. Para orientar como reportar abuso no uso dos equipamentos de TI da organização Correct Answer: A Section: (none) Explanation Explanation/Reference: Todos os funcionários são responsáveis pela segurança da informação. Essa responsabilidade deve ser clara no contrato de trabalho. O manual do funcionário deve conter um código de conduta e as sanções que são impostas em caso de não cumprimento e se incidentes surgem como resultado de mau uso da TI. No código de conduta pode-se afirmar, por exemplo, que e-mails pessoais não são permitidos. Answer: Q98 Qual a finalidade de uma política de segurança da informação? [ A. Descrever como a TI criptografa os dados dos aplicativos B. Orientar sobre como a segurança da informação é configurada dentro de uma organização C. Garantir que os funcionários não violam nenhuma lei de privacidade de dados D. Demonstrar como funciona os processos de segurança dentro da TI Correct Answer: B Section: (none) Explanation Explanation/Reference: Ao estabelecer uma política de segurança da informação, a alta gerência fornece orientação e apoio para a organização em relação aos aspectos de segurança. Answer: Q99 O ciclo do incidente de segurança é composto de 4 etapas. Qual é a etapa que vem após a ameaça? A. Incidente B. Dano C. Recuperação D. Mitigação Correct Answer: A Section: (none) Explanation Explanation/Reference: O ciclo de vida do incidente do incidente é composto de 4 etapas: Ameaça - Incidente - Dano - Recuperação. Answer: Q100 A empresa XPTO controla o acesso ao seu data center com um sistema de chave de acesso criptografada. Que tipo de medida de segurança é esta? A. Detectiva B. Repressiva C. Corretiva D. Preventiva Correct Answer: D Section: (none) Explanation Explanation/Reference: Medidas preventivas têm como objetivo de evitar incidentes de segurança. A criptografia é de forma geral uma medida preventiva. Answer: Q101 Um sistema de detecção de intrusão (IDS) inspeciona todas as atividades de rede de entrada e de saída e identifica padrões suspeitos que podem indicar que alguém está tentando invadir uma rede ou comprometer um sistema. Qual seria um outro exemplo de medida detectiva? A. Fornecedor ininterrupto de energia B. Câmeras de segurança C. Extintor de incêndio D. Ar condicionado Correct Answer: B Section: (none) Explanation Explanation/Reference: Medidas detectivas servem para detectar incidentes de segurança. Algumas câmeras de segurança tem softwares pode quem detectar movimentos, logo elas também são uma medida detectiva. Answer: Q102 Qual dos seguintes é um exemplo de medida de segurança física? A. Controlar entradas de funcionários e visitantes e impor o uso de crachá visível B. Impedir a impressão de qualquer documento dentro da empresa C. Inspecionar todos os visitantes na saída D. Todas estas medidas são medidas de segurança física de áreas Correct Answer: A Section: (none) Explanation Explanation/Reference: Segurança de áreas serve para impedir acesso físico não autorizado, dano e interferência às instalações e informações da organização. O uso de crachá é uma boa medida para controle de acesso às áreas da empresa. Answer: Q103 Qual anel de proteção protege o ativo de negócio mais sensível dentro da empresa? A. Prédio/construção B. Objeto C. Anel externo D. Espaço de trabalho Correct Answer: B Section: (none) Explanation Explanation/Reference: Os anéis de proteção são: Anel externo: área ao redor da empresa. Prédio: acesso ao prédio. Anel interno: espaço de trabalho, salas da empresa. Objeto: ativo a ser protegido. Answer: Q104 Qual é a finalidade da classificação das informações? A. Determinar quais tipos de informações podem requerer diferentes níveis de proteção B. Atribuir informações a um proprietário C. Reduzir os riscos de erro humano D. Impedir o acesso não autorizado a informações Correct Answer: A Section: (none) Explanation Explanation/Reference: Determinar quais tipos de informações podem requerer diferentes níveis de proteção. Isto foi estudado no módulo 4 - Parte 1. Answer: Q105 Ao enviar um e-mail você quer que o destinatário possa confirmar que foi você mesmo quem o enviou. O que você deve anexar ao e-mail? [ A. Uma assinatura digital B. Um certificado de PKI C. Sua chave privada D. Sua chave pública Correct Answer: A Section: (none) Explanation Explanation/Reference: As assinaturas digitais são criadas usando criptografia assimétrica. A assinaturadigital é um método para confirmar se a informação digital (um e-mail por exemplo) foi produzida ou enviada por uma pessoa que é quem diz ser - uma função comparável com a assinatura por escrito em documentos em papel. A assinatura digital é geralmente constituída de dois algoritmos, um para confirmar que a informação não foi modificada por terceiros assegurando assim a integridade da mensagem. Answer: Q106 Duas empresas decidem criar um mecanismo de criptografia para troca de informações entre elas. Primeiro, elas trocam por telefone a chave que será usada para criptografar e descriptografar os documentos. Que tipo de criptografia estas duas empresas estão utilizando? A. Criptografia simétrica B. Criptografia assimétrica C. Criptografia de mão única D. Criptografia particular Correct Answer: A Section: (none) Explanation Explanation/Reference: Uma característica do sistema simétrico é que existe um algoritmo e uma chave que o remetente e o destinatário compartilham. Neste sistema a mesma chave é utilizada tanto pelo receptor quanto pelo emissor. Portanto, a chave secreta deve ser trocada antes da comunicação do emissor para o receptor. Isso torna o sistema vulnerável se a chave não está bem protegida pelo remetente ou pelo destinatário, ou se a chave é interceptada por um hacker quando ela é enviada entre as partes que se comunicam. No sistema assimétrico esta vulnerabilidade não ocorre, pois existem chaves diferentes para criptografar e descriptografar. Answer: Q107 Para que serve uma infraestrutura de chave pública (PKI)? A. Ela oferece garantias sobre a qual pessoa ou sistema pertence uma chave pública específica B. Ela garante que um website é seguro C. Ela garante que o backup está completo D. Ela garante que a mensagem foi criptografada e que poderá ser decodificada pelo destinatário Correct Answer: A Section: (none) Explanation Explanation/Reference: A característica de uma PKI é que através de acordos, procedimentos e estrutura de organização ela oferece garantias sobre a qual pessoa ou sistema pertence uma chave pública específica. A PKI é muitas vezes gerida por uma entidade independente Answer: Q108 Que tipo de malware coleta informações do usuário e envia para outra parte, podendo inclusive enviar senhas de banco e e-mail? A. Bomba lógica B. Worm storm C. Cavalo de tróia D. Spyware Correct Answer: D Section: (none) Explanation Explanation/Reference: Spyware é um programa de computador que recolhe informações sobre o usuário e as envia a outra parte. O spyware não tenta danificar o PC e/ou o software, mas sim violar a privacidade com o objetivo de ganhos financeiros. Answer: Q109 Qual das seguintes não é uma medida organizacional? A. Criar uma política de segurança da informação B. Criar um manual do funcionário contendo um código de conduta e sanções caso o funcionário esteja em não conformidade com as políticas de segurança da informação C. Obter referências de uma pessoa no momento da contratação e confirmar identidade e diplomas D. Criptografar senhas de usuários no banco de dados Correct Answer: D Section: (none) Explanation Explanation/Reference: Esta opção é uma medida técnica, por isto não está no nível organizacional. Answer: Q110 Tarefas e responsabilidades devem ser separadas a fim de evitar a possibilidade de alterações não autorizadas ou não intencionais, ou o uso indevido de ativos da organização. Isto é conhecido como segregação (ou separação) de funções. O que NÃO é considerado um critério para determinar se a segregação de funções é aplicável a um funcionário? A. Em quais processos/atividades a pessoa toma decisões B. Em quais processos/atividades de controle a pessoa está envolvida C. Em quais locais dentro da empresa a pessoa circula D. Nenhuma destas alternativas é um critério para determinar se a segregação de funções é aplicável a um funcionário Correct Answer: C Section: (none) Explanation Explanation/Reference: Na segregação de funções, uma avaliação é realizada para saber se uma pessoa realiza tarefas de tomada de decisão, execução ou controle. Também se determina se a pessoa precisa de acesso à informação. Acesso desnecessário aumenta o risco de as informações serem utilizadas, alteradas ou destruídas, de forma intencional ou não. O funcionário do nível operacional em uma empresa listada na bolsa de valores, por exemplo, não tem acesso às informações da empresa relativas ao seu desempenho na bolsa de valores, como o lucro esperado e os valores anuais e perda.No caso desta questão, não faz sentido considerar em quais locais dentro da empresa a pessoa circula para determinar os níveis de acesso às informações ou aos sistemas. Answer: Q111 Na concessão de acesso é feita uma distinção entre identificação, autenticação e autorização. Para que é feita a autenticação? A. Para tornar identificação do usuário conhecida, o que significa que lhe será dado acesso ao sistema B. Para verificar o login do usuário contra a lista de usuários que têm acesso ao sistema C. Para determinar se o acesso pode ser concedido verificando se o token é autêntico D. Para dar ao usuário os direitos que ele precisa, tais como permissão para ler dados de uma tabela Correct Answer: C Section: (none) Explanation Explanation/Reference: A identificação é o primeiro passo no processo para a concessão de acesso. Na identificação da pessoa ela apresenta um sinal, como por exemplo uma chave, um nome de usuário ou senha. O sistema determina se o sinal (token) é autêntico e quais recursos de acesso podem ser concedidos. Assim que isto é determinado, as autorizações podem ser alocadas. Portanto, verificar se a identidade de alguém é verdadeira é chamado de autenticação. Answer: Q112 No processo de gestão de continuidade de negócio, os processos de negócio que são fundamentais para o funcionamento da organização devem ser identificados Além de outras medidas que garantam a continuidade, a perda de informações que poderia resultar de um desastre natural ou de falta de energia elétrica devem ser evitados. Qual o objetivo principal de se produzir um plano de recuperação de desastres (PRD)? A. Identificar eventos que poderiam provocar um desastre B. Limitar os impactos/consequências em caso de ocorrência de um desastre C. Reduzir a probabilidade de ocorrência de um desastre D. Restaurar a situação ao seu estado anterior ao desastre Correct Answer: B Section: (none) Explanation Explanation/Reference: O objetivo do PRD é minimizar as consequências de um desastre e tomar as medidas necessárias para garantir que funcionários, ativos de negócios e processos de negócios estão disponíveis novamente dentro de um tempo aceitável. O PRD é destinado à recuperação imediatamente após um desastre. O PRD é colocado em ação quando o desastre ainda está em curso. O trabalho tem como foco determinar os danos e colocar os sistemas para funcionar novamente. Já o PCN (Plano de continuidade de negócio) inclui restaurar a situação ao seu estado anterior ao desastre, que é a opção D Answer: Q113 O direito à privacidade de dados pessoal é uma área altamente desenvolvida do direito na Europa. Em outros países há variações. Qual abordagem adotaram os Estados Unidos nesta questão? A. Os EUA também são signatários da convenção europeia de direitos humanos B. A maioria dos setores econômicos dos EUA satisfazem as diretivas da União Européia C. Há uma lei abrangente que atende a todas necessidades de todos os setores D. É adotada uma abordagem setorial e podem ser criadas novas leis conforme necessário Correct Answer: D Section: (none) Explanation Explanation/Reference: Os Estados Unidos preferem o que é chamado de abordagem "setorial " em relação à legislação de proteção de dados, baseando-se em uma combinação de legislação, regulamentação e autoregulamentação, em vez de regulamentos governamentais abrangentes. Até o momento, os EUA não têm a lei de privacidade abrangente única comparável ao que ocorre na Europa. A legislação de privacidade nos Estados Unidos tende a ser adotada em uma base "conforme necessário",
Continue navegando
Conteúdos escolhidos para você
32 pág.
104 pág.
165 pág.
Perguntas dessa disciplina
Compartilhar