Simulado EXIN ISFS - 2 SIMULADOS EM 1 ARQUIVO

Prévia do material em texto

Um incidente de segurança relacionado com um servidor Web é relatado a um funcionário do helpdesk. Sua colega tem mais experiência em servidores Web; então, ele transfere o caso para ela.
Qual termo descreve essa transferência?
Que tipo de malware cria uma rede de computadores contaminados?
Parte superior do formulário
Qual a melhor maneira de descrever o objetivo da política de segurança da informação?
Parte inferior do formulário
Um incêndio interrompe os trabalhos da filial de uma empresa de seguros de saúde. Os funcionários são transferidos para escritórios vizinhos para continuar seu trabalho.
No ciclo de vida do incidente, onde são encontrados os acordos stand-by (plano de contingência)?
	
Parte superior do formulário
Qual é o propósito do gerenciamento de risco?
No ciclo de incidente há quatro etapas sucessivas. Qual é a etapa que sucede o incidente?
Qual das ameaças listadas abaixo pode ocorrer como resultado da ausência de uma medida de segurança física?
Por que é necessário manter um plano de recuperação de desastres atualizados e testá-lo regularmente?
Em uma organização, o agente de segurança detecta que a estação de trabalho de um funcionário está infectada com software malicioso. O software malicioso foi instalado como resultado de um ataque direcionado de phishing.
Qual ação é a mais benéfica para evitar esses incidentes no futuro?
O que é um exemplo de uma ameaça humana?
Qual é o objetivo da classificação da informação?
Na segurança física, múltiplas zonas em expansão (anéis de proteção) podem ser aplicadas, nas quais diferentes medidas podem ser adotadas.
O que não é um anel de proteção?
Houve um incêndio em uma filial da companhia Midwest Insurance. Os bombeiros chegaram rapidamente ao local e puderam apagar o fogo antes que se espalhasse e queimasse toda a instalação. O servidor, entretanto, foi destruído pelo fogo. As fitas de segurança (backup) mantidas em outra sala derreteram e muitos outros documentos foram perdidos definitivamente.
Qual é um exemplo de dano indireto causado pelo incêndio?
Uma análise de risco bem executada oferece uma grande quantidade de informações úteis. A análise de risco tem quatro principais objetivos.
Qual das opções abaixo não é um dos quatro principais objetivos da análise de risco?
Você trabalha no escritório de uma grande companhia. Você recebe um telefonema de uma pessoa dizendo ser do helpdesk. Ela pede para que você lhe diga sua senha.
Que tipo de ameaça é esta?
Um hacker obtém acesso a um servidor Web e pode exibir um arquivo no servidor que contém números de cartão de crédito.
Quais princípios de confidencialidade, integridade e disponibilidade (CIA) do arquivo de cartão de crédito são violados?
Com base em qual legislação alguém pode pedir para inspecionar seus dados pessoais que tenham sido registrados (em países onde a lei é aplicável)?
Um departamento administrativo vai determinar os riscos aos quais está exposto.
Como denominamos um possível evento que possa comprometer a confiabilidade da informação?
Qual das opções abaixo é uma medida repressiva em caso de incêndio?
Quem é autorizado a mudar a classificação de um documento?
As cópias de segurança (backup) do servidor central são mantidas na mesma sala fechada que o servidor.
Que risco a organização enfrenta?
Qual é a legislação ou ato regulatório relacionado à segurança da informação que pode ser imposto a todas as organizações (em países onde a lei é aplicável)?
Como se chama o processo de “definir se a identidade de alguém é correta”?
Qual das seguintes medidas é uma medida preventiva?
Qual das seguintes medidas de segurança é uma medida técnica?
Informações envolvem inúmeros aspectos de confiabilidade, a qual é constantemente ameaçada. Exemplos de ameaças são: um cabo se soltar, informações alteradas por acidente, dados que são usados para fins particulares ou falsificados.
Qual destes exemplos é uma ameaça à integridade?
Qual a relação entre dados e informações?
O que é um exemplo de uma ameaça humana?
Qual é o nome do sistema que garante a coerência da segurança da informação na organização?
A fim de ter uma apólice de seguro de incêndio, o departamento administrativo deve determinar o valor dos dados que gerencia.
Qual fator não é importante para determinar o valor dos dados para uma organização?
A autenticação forte é necessária para acessar áreas altamente protegidas. Em caso de autenticação forte a identidade de uma pessoa é verificada através de três fatores.
Qual fator é verificado quando é preciso mostrar um crachá de acesso?
Um funcionário nega ter feito o envio de uma mensagem específica.
Qual o aspecto de confiabilidade da informação está em risco aqui?
Você é o proprietário de uma companhia de correio (courier), SpeeDelivery. Você emprega algumas pessoas que, enquanto esperam para fazer as entregas, podem realizar outras tarefas. Você percebe, no entanto, que eles usam esse tempo para enviar e ler seus e-mails particulares e navegar na Internet.
Em termos legais, de que forma o uso da internet e do e-mail pode ser melhor regulado?
Você trabalha no departamento de TI de uma empresa de tamanho médio. Informações confidenciais têm caído em mãos erradas por várias vezes. Isso tem prejudicado a imagem da companhia. Você foi solicitado a propor medidas de segurança organizacional em laptops para sua companhia.
Qual o primeiro passo que você deveria dar?
Há alguns anos você começou sua empresa, que já cresceu de 1 para 20 empregados. As informações de sua empresa valem mais e mais e já passaram os dias em que você podia manter tudo em suas próprias mãos. Você está ciente de que precisa tomar medidas, mas quais? Você contrata um consultor, que o aconselha a começar com uma análise de risco qualitativa.
O que é uma análise de risco qualitativa?
O acesso à sala de computadores está bloqueado por um leitor de crachás. Somente o Departamento de Gerenciamento de Sistemas tem um crachá.
Que tipo de medida de segurança é essa?
Existe uma impressora de rede no corredor da empresa onde você trabalha. Muitos funcionários não vão pegar suas impressões imediatamente e deixam o material na impressora
Quais são as consequências disto com relação à confiabilidade das informações?
Uma funcionária trabalhador de uma companhia de seguros descobre que a data de validade de uma política foi alterada sem seu conhecimento. Ela é a única pessoa autorizada a fazer isso. Ela relata este incidente de segurança ao helpdesk. O atendente do helpdesk registra as seguintes informações sobre este incidente:
- data e hora
- descrição do incidente
- possíveis consequências do incidente
Qual a informação mais importante sobre o incidente está faltando aqui?
Em quais condições é permitido a um empregador verificar se os serviços de Internet e e-mail no ambiente de trabalho estão sendo utilizados para finalidades pessoais?
Você é o proprietário de uma companhia de correio (courier), SpeeDelivery. Você realizou uma análise de risco e agora quer determinar sua estratégia de risco. Você decide tomar medidas contra os grandes riscos, mas não contra os pequenos riscos.
Como é chamada a estratégia de risco adotada neste caso?
Quem está autorizado a alterar a classificação de um documento?
Qual é a relação entre dados e informações?
Você é um consultor de segurança da informação e é regularmente contratado por grandes empresas para realizar análises. Como as atribuições são irregulares, você terceiriza a administração do seu negócio para trabalhadores temporários. Você não quer que os trabalhadores temporários tenham acesso aos seus relatórios.
Qual aspecto de confiabilidade das informações em seus relatórios você deve proteger?
Você acabou de começar a trabalhar na Solus International Corporation. Você foi solicitado a assinar um código de conduta, bem como um contrato. O que a organização deseja alcançar com isso?
Por que as organizações possuem uma política de segurança da informação?
Que tipo de segurançaé oferecida por uma infraestrutura de chave pública (PKI)?
Qual das seguintes medidas é uma medida preventiva?
Que tipo de código malicioso (malware) cria uma rede de computadores contaminados?
Sua organização tem um escritório com espaço físico limitado para 25 estações de trabalho (desktops). Devido a uma reorganização, 10 estações de trabalho adicionais são adquiridas. 5 das novas estações são usadas para um callcenter que funciona 24 horas por dia, então devem estar sempre disponíveis. Quais medidas de segurança física devem ser tomadas para garantir isso?
Uma ameaça não humana para sistemas de informação é a inundação. Em que situação uma inundação sempre é uma ameaça relevante?
Um funcionário do departamento administrativo da Solus Consultoria. descobre que a data de vencimento de um contrato com um dos clientes é anterior à data de início. Que tipo de medida poderia evitar automaticamente esse erro?
Você começa um dia de trabalho e percebe tem acesso a um novo aplicativo da empresa que nunca usou antes. Isso é um incidente de segurança da informação?
Qual é o motivo mais importante para aplicar a segregação de funções?
Quando estamos em nossa mesa, queremos que o sistema de informação e as informações necessárias sejam acessíveis. Queremos poder trabalhar com o computador e acessar a rede e nossos arquivos. Qual é a definição correta de disponibilidade?
Ludson trabalha na empresa Solus Seguros. Sua gerente, Isabelle, pede que ele envie os termos e condições de uma apólice de seguro de vida para Milla, uma cliente. Quem determina o valor do informações no documento de termos e condições do seguro?
Na maioria das organizações, o acesso ao computador ou à rede é concedido somente após o usuário ter digitado um nome de usuário e senha corretos. Este processo consiste em 3 etapas: identificação, autenticação e autorização. Qual é o objetivo da segunda etapa, autenticação?
Qual é o objetivo de classificar informações?
Algumas ameaças são causadas diretamente pelas pessoas, outras têm uma causa natural. O que é um exemplo de uma ameaça humana intencional?
Você trabalha para uma grande empresa. Você percebe que tem acesso a informações confidenciais que você não deveria conseguir acessar em seu cargo. Você relata esse incidente de segurança para a central de serviços. O ciclo de incidentes é iniciado. Quais são os estágios do ciclo de incidentes de segurança?
Qual é a definição da expectativa de perda anual?
O que é um exemplo de uma medida de segurança física?
O que os funcionários precisam saber para relatar um incidente de segurança?
Qual medida de segurança física é necessária para controlar o acesso às informações da empresa?
Qual dos itens abaixo é um exemplo de um incidente de segurança?
Qual é o maior risco para uma organização se nenhuma política de segurança da informação tiver sido definida?
Você trabalha no departamento de TI de uma empresa de médio porte. Informações confidenciais já caíram em mãos erradas várias vezes e isso prejudicou a imagem da empresa. Você foi convidado a propor medidas de segurança organizacionais para laptops em sua empresa. Qual é o primeiro passo que você deveria tomar?
Por que é necessário instalar um bom ar condicionado no Datacenter?
Para que uma análise de risco é usada?
Por que a conformidade é importante para a confiabilidade das informações?
Uma análise de risco bem executada fornece uma grande quantidade de informações úteis. Uma análise de risco tem quatro principais objetivos. O que não é um dos quatro principais objetivos de uma análise de risco?
A empresa Solus Serviços tomou muitas medidas para proteger suas informações. Ele usa um Sistema de Gestão de Segurança da Informação (SGSI), a entrada e saída de dados em aplicativos é validada, documentos confidenciais são enviados em forma criptografada e os funcionários usam tokens para acessar os sistemas de informação. Qual destes não é uma medida técnica?
Você é o proprietário da empresa de entregas SolusExpress. Com base na sua análise de risco, você decidiu tomar uma série de medidas. Você implanta backups diários no servidor mais crítico, coloca uma porta e mantem o Datacenter trancado com acesso restrito, instala um sistema de alarme de intrusão e um sistema de sprinklers para combater incêndios.
Qual de essas medidas pode ser considerada detectiva?
Você trabalha no escritório do Grupo Solus. Você recebe uma ligação de uma pessoa que afirma ser um analista do Helpdesk. Ele pede sua senha para solucionar um problema crítico e urgente no ERP corporativo. Que tipo de ameaça é essa?
Você é o proprietário da empresa de entregas SolusExpress. Você emprega algumas pessoas que, enquanto esperam para fazer uma entrega, podem realizar outras tarefas. Você percebe, no entanto, que eles usam esse tempo para enviar e ler seus e-mails particulares e navegar na Internet. Em termos legais, de que maneira o uso da Internet e e-mail são melhor regulados?
O que é um exemplo de uma ameaça não humana ao ambiente físico?
Sua empresa está no noticiário como resultado de uma ação infeliz de um de seus funcionários. Os telefones não param de tocar com ligações de clientes revoltados que querem cancelar seus contratos. O que chamamos esse tipo de dano?
Qual dos exemplos abaixo é uma medida corretiva?
Qual destes não é um exemplo de código malicioso?
Podemos adquirir e fornecer informações de várias maneiras. O valor da informação depende de sua confiabilidade. Quais são os aspectos de confiabilidade da informação?