Simulado II ISFS

Prévia do material em texto

Simulado II - Resultados
Voltar para revisão
Chart
Pie chart with 3 slices.
End of interactive chart.
Tentativa 1
Todas as perguntas
Top of Form
Pergunta 1: Correto
Você é o proprietário da empresa de entregas SolusExpress. Durante os últimos meses, vários incidentes ocorreram, onde colaboradores acessaram sites com conteúdo inapropriado, ou enviaram informações da empresa usando e-mails pessoais.
Que tipo de medida organizacional pode melhor ajudar a tratar essa situação?
· Implantar uma ferramenta de DLP (Data Loss Prevention) para evitar o vazamento de informações
· Demitir os colaboradores que usaram recursos corporativos de maneira inadequada
· Bloquear o acesso a sites da internet considerados inadequados e ferramentas de email não autorizadas
· Implementando normas e políticas referentes ao uso de recursos corporativos e conscientizar os colaboradores
(Correto)
Bottom of Form
Top of Form
Pergunta 2: Correto
Por que é necessário instalar um bom ar condicionado no Datacenter?
· No Datacenter, o ar deve ser resfriado e o calor produzido pelo equipamento deve ser extraído. O ar da sala também é desumidificado e filtrado.
(Correto)
· Quando uma empresa deseja resfriar seus escritórios, a sala de servidores é o melhor lugar. Desta forma, nenhum espaço de escritório precisa ser sacrificado por um equipamento tão grande.
· Não é agradável para a equipe de manutenção ter que trabalhar em uma sala de servidores que seja muito quente.
· As fitas de backup são feitas de plástico fino que não pode suportar altas temperaturas. Portanto, se ficar muito quente em uma sala de servidores, eles poderão ser danificados.
Bottom of Form
Top of Form
Pergunta 3: Correto
Quem é o responsável por definir os requisitos e proteção e a classificação de um documento?
· O autor da informação
· O administrador da informação
· O proprietário da informação
(Correto)
· O gerente do dono da informação
Bottom of Form
Top of Form
Pergunta 4: Correto
A empresa Solus Serviços tomou muitas medidas para proteger suas informações. Ele usa um Sistema de Gestão de Segurança da Informação (SGSI), a entrada e saída de dados em aplicativos é validada, documentos confidenciais são enviados em forma criptografada e os funcionários usam tokens para acessar os sistemas de informação. Qual destes não é uma medida técnica?
· Sistema de Gestão de Segurança da Informação
(Correto)
· O uso de tokens para obter acesso a sistemas de informação
· Validação de dados de entrada e saída em aplicativos
· Criptografia de informações
Bottom of Form
Top of Form
Pergunta 5: Incorreto
O que é um exemplo de uma medida de segurança física?
· Um código de conduta que exige que os funcionários sigam a política clara do escritório, garantindo que informações confidenciais não sejam deixadas visíveis na mesa no final do dia de trabalho.
· Uma política de controle de acesso com crachás que devem ser usados visivelmente
(Incorreto)
· A criptografia de informações confidenciais
· Extintores de incêndio especiais com gás inerte, como o argônio
(Correto)
Bottom of Form
Top of Form
Pergunta 6: Incorreto
Qual medida de segurança física é necessária para controlar o acesso às informações da empresa?
· Ar-condicionado
· Nome de usuário e senha
· O uso de vidros e portas resistentes a rupturas com as fechaduras, molduras e dobradiças apropriadas
(Correto)
· Proibindo o uso de pen drives
(Incorreto)
Bottom of Form
Top of Form
Pergunta 7: Correto
Por que as organizações possuem uma política de segurança da informação?
· Para demonstrar o funcionamento do ciclo de Deming (PDCA) dentro de uma organização.
· A fim de garantir que o pessoal não viole nenhuma lei.
· Para orientar como a segurança da informação é conduzida dentro de uma organização.
(Correto)
· Para garantir que todos saibam quem é responsável pela execução dos procedimentos de backup.
Bottom of Form
Top of Form
Pergunta 8: Correto
Informações da sua empresa foram vazadas na internet. Após uma breve investigação, verificou-se que um gestor havia classificado informações confidenciais como públicas, e por isso não estavam adequadamente protegidas.
Quem deveria ter garantido a correta classificação das informações?
· O proprietário da informação
(Correto)
· O time de segurança da informação
· A equipe de TI
· O autor da informação
Bottom of Form
Top of Form
Pergunta 9: Incorreto
Sua organização tem um escritório com espaço físico limitado para 25 estações de trabalho (desktops). Devido a uma reorganização, 10 estações de trabalho adicionais são adquiridas. 5 das novas estações são usadas para um callcenter que funciona 24 horas por dia, então devem estar sempre disponíveis. Quais medidas de segurança física devem ser tomadas para garantir isso?
· Obtenha um escritório extra e configure 10 estações de trabalho. Você teria, portanto, equipamentos de reposição que pode ser usado para substituir qualquer equipamento que não funcione.
· Obtenha um escritório extra e configure 10 estações de trabalho. Assegure-se de que haja pessoal de segurança tanto à noite quanto à noite, para que a equipe possa trabalhar com segurança e segurança.
· Obtenha um escritório extra e conecte todas as 10 novas estações de trabalho a uma fonte de alimentação de emergência e UPS (Uninterruptible Power Supply/Nobreak). Ajuste o sistema de controle de acesso ao horário de trabalho de o novo pessoal e informae o pessoal de segurança do edifício que o trabalho também será realizado a noite.
(Correto)
· Obtenha um escritório extra e forneça um UPS (Uninterruptible Power Supply/Nobreak) para as cinco estações de trabalho importantes.
(Incorreto)
Bottom of Form
Top of Form
Pergunta 10: Incorreto
Qual das seguintes medidas é uma medida preventiva?
· Instalar um sistema de registro que permita que mudanças em um sistema sejam reconhecidas
(Incorreto)
· Desligar todo o tráfego da Internet após um hacker ter obtido acesso aos sistemas da empresa
· Armazenar fitas de backup em um escritório remoto (offsite)
(Correto)
· Classificar um risco como aceitável porque o custo de lidar com a ameaça é maior do que o valor da informação em risco
Bottom of Form
Top of Form
Pergunta 11: Incorreto
Para que uma análise de risco é usada?
· Uma análise de risco é usada para expressar o valor da informação para uma organização em termos financeiros.
· Uma análise de risco é usada para esclarecer ao gerenciamento suas responsabilidades.
· Uma análise de risco é usada em conjunto com medidas de segurança para reduzir riscos a um nível aceitável.
(Incorreto)
· Uma análise de risco é usada para garantir que medidas de segurança sejam implantadas de forma oportuna.
(Correto)
Bottom of Form
Top of Form
Pergunta 12: Correto
Uma análise de risco bem executada fornece uma grande quantidade de informações úteis. Uma análise de risco tem quatro principais objetivos. O que não é um dos quatro principais objetivos de uma análise de risco?
· Identificar ativos e seu valor
· Determinar os custos das ameaças
(Correto)
· Estabelecer um equilíbrio entre os custos de um incidente e os custos de uma medida de segurança
· Determinar vulnerabilidades e ameaças relevantes
Bottom of Form
Top of Form
Pergunta 13: Correto
Qual dos itens abaixo é um exemplo de um incidente de segurança?
· A iluminação no departamento não funciona mais.
· Um membro da equipe perde um laptop.
(Correto)
· Você não pode definir as fontes corretas em seu software de processamento de texto.
· Um arquivo é salvo com um nome incorreto.
Bottom of Form
Top of Form
Pergunta 14: Correto
Qual dos exemplos abaixo é uma medida corretiva?
· Incorporar um Sistema de Detecção de Intrusão (IDS) no projeto de um Datacenter
· Instalar um software para combate a códigos maliciosos
· Realizar o backup dos dados que foram criados ou alterados naquele dia
· Restaurar um backup do banco de dados correto depois que uma cópia corrompida do banco de dados foi gravada sobre o original
(Correto)
Bottom of Form
Top of Form
Pergunta 15: Correto
Podemos adquirir e fornecer informações de várias maneiras. O valor da informação depende dela serconfiável. Quais são os aspectos de confiabilidade da informação?
· Disponibilidade, Valor da Informação e Confidencialidade
· Disponibilidade, Integridade e Confidencialidade
(Correto)
· Disponibilidade, Integridade e Completude
· Pontualidade, Exatidão e Completude
Bottom of Form
Top of Form
Pergunta 16: Correto
Sua empresa precisa garantir que ela atenda aos requisitos estabelecidos na legislação de proteção de dados pessoais. Qual é a primeira coisa que você deve fazer?
· Tornar os funcionários responsáveis por enviar seus dados pessoais.
· Traduzir os requisitos da legislação de proteção de dados pessoais em uma política de privacidade voltada empresa e os contratos com os clientes.
(Correto)
· Indicar uma pessoa responsável por apoiar os gerentes na adesão à política.
· Emitir uma proibição sobre o fornecimento de informações pessoais.
Bottom of Form
Top of Form
Pergunta 17: Incorreto
Que tipo de segurança é oferecida por uma infraestrutura de chave pública (PKI)?
· Fornece certificados digitais que podem ser usados para assinar documentos digitalmente. Tais assinaturas determinam de forma irrefutável de quem um documento foi enviado.
(Incorreto)
· Ter uma PKI mostra aos clientes que uma empresa baseada na Web é segura.
· Ao fornecer acordos, procedimentos e estrutura organizacional, uma PKI define quais pessoas ou quais sistemas pertencem a qual chave pública específica.
(Correto)
· Uma PKI garante que os backups dos dados da empresa sejam feitos regularmente.
Bottom of Form
Top of Form
Pergunta 18: Incorreto
Um funcionário do departamento administrativo da Solus Consultoria descobre que a data de vencimento de um contrato com um dos clientes é anterior à data de início. Que tipo de medida poderia evitar esse erro?
· Medida de disponibilidade
· Medida de integridade
(Incorreto)
· Medida Organizacional
· Medida técnica de integridade
(Correto)
Bottom of Form
Top of Form
Pergunta 19: Correto
Qual é o maior risco para uma organização se nenhuma política de segurança da informação tiver sido definida?
· Se todos trabalham usando a mesma conta de rede, é impossível descobrir quem fez o que.
· As atividades de segurança da informação são realizadas por apenas algumas pessoas.
· Muitas medidas não são solucionadas.
· Não é possível para uma organização implementar a segurança da informação de maneira consistente.
(Correto)
Bottom of Form
Top of Form
Pergunta 20: Correto
Qual é o objetivo de classificar informações?
· Autorização do uso de um sistema de informação
· Criar um rótulo que indique a confidencialidade da informação
· Definição de diferentes níveis de sensibilidade nos quais a informação pode ser organizada e protegida conforme requisitos estabelecidos
(Correto)
· Exibir no documento quem tem permissão de acesso
Bottom of Form
Top of Form
Pergunta 21: Correto
O que os funcionários precisam saber para relatar um incidente de segurança?
· Como reportar um incidente e para quem.
(Correto)
· Se o incidente ocorreu antes e qual foi o dano resultante.
· As medidas que deveriam ter sido tomadas para evitar o incidente em primeiro lugar.
· Quem é responsável pelo incidente e se foi intencional.
Bottom of Form
Top of Form
Pergunta 22: Correto
Você acabou de começar a trabalhar na Solus International Corporation. Você foi solicitado a assinar um código de conduta, bem como um contrato. O que a organização deseja alcançar com isso?
· Um código de conduta ajuda a evitar o mau uso das instalações de TI.
(Correto)
· Um código de conduta é uma obrigação legal que as organizações devem cumprir.
· Um código de conduta previne um surto de vírus.
· Um código de conduta fornece orientação aos funcionários sobre como relatar suspeitas de uso indevido de instalações de TI.
Bottom of Form
Top of Form
Pergunta 23: Correto
Nos últimos meses diversos incidentes de Segurança da Informação ocorreram na Solus Metal do Brasil. O gerente de Segurança relatou que em muitos casos o tratamento dos incidentes não foi efetivo.
Qual das medidas abaixo deveria ser tomada primeiro para corrigir essa situação?
· Melhorar o registro dos incidentes
· Criar uma campanha de conscientização em segurança da informação para garantir que usuários saibam reportar incidentes
· Contratar uma ferramenta de helpdesk melhor
· Realizar uma reunião de lições aprendidas e descobrir como melhorar o processo de gestão de incidentes
(Correto)
Bottom of Form
Top of Form
Pergunta 24: Correto
Para realizar um trabalho efetivo, é essencial que sistemas de informação e as informações necessárias sejam acessíveis. Na maioria dos casos, para trabalhar é necessário ter um computador, acessar a rede utilizar vários arquivos.
Qual é a definição correta de disponibilidade?
· O grau em que a capacidade do sistema é suficiente para permitir que todos os usuários trabalhem com ele
· O grau em que a continuidade de uma organização é garantida
· O grau em que os recursos e a informação estão disponíveis para os usuários quando necessário
(Correto)
· O tempo total que um sistema de informação é acessível aos usuários
Bottom of Form
Top of Form
Pergunta 25: Correto
O que é um exemplo de uma ameaça não humana ao ambiente físico?
· Transação fraudulenta
· Arquivo corrompido propositalmente
· Tempestade
(Correto)
· Vírus
Bottom of Form
Top of Form
Pergunta 26: Correto
Na maioria das organizações, o acesso ao computador ou à rede é concedido somente após o usuário ter digitado um nome de usuário e senha corretos. Este processo consiste em 3 etapas: identificação, autenticação e autorização. Qual é o objetivo da segunda etapa, autenticação?
· Na segunda etapa, você torna sua identidade conhecida, o que significa que você tem acesso ao sistema.
· A etapa de autenticação verifica o nome de usuário em relação a uma lista de usuários que têm acesso ao sistema.
· O sistema determina se o acesso pode ser concedido determinando se a autenticação fornecida é autêntica.
(Correto)
· Durante a etapa de autenticação, o sistema fornece os direitos de que você precisa, como capaz de ler os dados no sistema.
Bottom of Form
Top of Form
Pergunta 27: Correto
Qual destes não é um exemplo de código malicioso?
· Phishing
(Correto)
· Spyware
· Vírus
· Verme
Bottom of Form
Top of Form
Pergunta 28: Correto
Algumas ameaças são causadas diretamente pelas pessoas, outras têm uma causa natural. O que é um exemplo de uma ameaça humana intencional?
· Relâmpago
· Incêndio criminoso
(Correto)
· Inundação
· Perda de um pendrive
Bottom of Form
Top of Form
Pergunta 29: Correto
Um entregador chega na empresa e, ao se identificar na recepção, informa que tem um pacote para Isabelle, do setor de contabilidade. A recepcionista identifica que essa funcionária não foi para o escritório por conta de uma gripe.
O entregador se mostra preocupado, e pergunta se pode ir até a mesa dela deixar o pacote, já que Isabelle deve voltar nos próximos dias. Presumindo que essa situação é um incidente de segurança, qual é a provável técnica aplicada?
· Phishing
· Cavalo de Tróia
· Spam
· Engenharia social
(Correto)
Bottom of Form
Top of Form
Pergunta 30: Correto
Qual é o motivo mais importante para aplicar a segregação de funções?
· A segregação de funções deixa claro quem é responsável pelo que.
· A segregação de funções assegura que, quando uma pessoa está ausente, pode-se investigar se ele ou ela tem cometido fraude.
· As tarefas e responsabilidades devem ser segregadas para minimizar as oportunidades de uso indevido ou alterado de ativos de informação, independentemente de a alteração ser não autorizada ou não intencional.
(Correto)
· A segregação de funções torna mais fácil para uma pessoa que está pronta com sua parte do trabalho tirar uma folga ou assumir o trabalho de outra pessoa.
Bottom of Form
Top of Form
Pergunta 31: Correto
Uma ameaça não humana para sistemas de informação é a inundação. Em que situação uma inundação sempre é uma ameaça relevante?
· Se a análise de risco não foi realizada.
· Quando os sistemas de informação são mantidos em um porão localizado abaixo do nível do solo.
(Correto)
· Quando ossistemas de informação não estão assegurados.
· Quando a organização está localizada perto de um rio, lagoa ou na praia.
Bottom of Form
Top of Form
Pergunta 32: Correto
Por que a conformidade é importante para a confiabilidade das informações?
· Conformidade é outra palavra para confiabilidade. Então, se uma empresa indica que está em conformidade, significa que as informações são gerenciadas corretamente e de maneira segura.
· Atendendo às exigências legislativas e aos regulamentos do governo e gestão interna, uma organização demonstra que gerencia e protege suas informações de maneira efetiva.
(Correto)
· Quando uma organização emprega uma norma como a ISO / IEC 27002 e a usa em todos os lugares possível, ela está em conformidade e, portanto, garante a confiabilidade de suas informações.
· Quando uma organização está em conformidade, ela atende aos requisitos da legislação de privacidade e, em fazendo isso, protege a confiabilidade de suas informações.
Bottom of Form
Top of Form
Pergunta 33: Correto
Você é o proprietário da empresa de entregas SolusExpress. Com base na sua análise de risco, você decidiu tomar uma série de medidas. Você implanta backups diários no servidor mais crítico, coloca uma porta e mantem o Datacenter trancado com acesso restrito, instala um sistema de alarme de intrusão e um sistema de sprinklers para combater incêndios.
Qual de essas medidas pode ser considerada detectiva?
· O processo de backup
· O alarme de intrusão
(Correto)
· A instalação de sprinkler
· A restrição de acesso a sala do Datacenter
Bottom of Form
Top of Form
Pergunta 34: Correto
Qual é a grande diferença entre dados e informações?
· Dados são informações estruturadas.
· Dados e informações são sinônimos.
· Informação é o dado acrescido de um contexto, de forma que tem algum tipo de valor.
(Correto)
· Informação precisa ser protegida, dados podem ser compartilhados.
Bottom of Form
Top of Form
Pergunta 35: Correto
Que tipo de código malicioso (malware) ‘se esconde’ como parte de algo útil, como programas baixados de sites na Internet e que parecem ser apenas cartões virtuais animados, álbuns de fotos, jogos e protetores de tela, entre outros e, após a infecção, conduz atividades secundárias maliciosas?
· Bomba Lógica (Logic Bomb)
· Rede zumbi (Botnet)
· Cavalo de Troia (Trojan)
(Correto)
· Vírus
Bottom of Form
Top of Form
Pergunta 36: Correto
Você recebe uma ligação de uma pessoa afirmando ser o gerente da conta bancária da sua empresa. Ele afirma que devido a mudanças tecnológicas, é necessário instalar um novo software para manter o internet banking. Você segue com a instalação normalmente e, depois de alguns dias, descobre que ocorreu um acesso não autorizado a sua conta bancária.
Que tipo de ameaça é essa?
· Ameaça natural
· Ameaça Organizacional
· Engenharia Social
(Correto)
· Cavalo de Tróia
Bottom of Form
Top of Form
Pergunta 37: Correto
Você é um consultor de segurança da informação e é regularmente contratado por grandes empresas para realizar análises. Como as atribuições são irregulares, você terceiriza a administração do seu negócio para trabalhadores temporários. Você não quer que os trabalhadores temporários tenham acesso aos seus relatórios.
Qual aspecto de confiabilidade das informações em seus relatórios você deve proteger?
· Disponibilidade
· Integridade
· Confidencialidade
(Correto)
· Completitude
Bottom of Form
Top of Form
Pergunta 38: Correto
Sua empresa está no noticiário como resultado de uma ação infeliz de um de seus funcionários. Os telefones não param de tocar com ligações de clientes revoltados que querem cancelar seus contratos. O que chamamos esse tipo de dano?
· Danos diretos
· Danos indiretos
(Correto)
· Danos paralelos
· Danos ocasionais
Bottom of Form
Top of Form
Pergunta 39: Incorreto
Você começa um dia de trabalho e percebe tem acesso a um novo aplicativo da empresa que nunca usou antes. Isso é um incidente de segurança da informação?
· Sim! E deve ser relatado conforme as normas e políticas da empresa!
(Incorreto)
· Não! Afinal a instalação de novos aplicativos é parte das atividades da TI!
(Correto)
· Apenas se o aplicativo contiver informações confidenciais
· Apenas se o aplicativo contiver informações de clientes
Bottom of Form
Top of Form
Pergunta 40: Correto
Você trabalha para uma grande empresa. Você percebe que tem acesso a informações confidenciais que você não deveria conseguir acessar em seu cargo. Você relata esse incidente de segurança para a central de serviços. O ciclo de incidentes é iniciado. Quais são os estágios do ciclo de incidentes de segurança?
Bottom of Form