GESTÃO DE SEGURANÇA DA TI

Prévia do material em texto

1a Questão 
 
Considere as afirmativas sobre PSI. I. Para a criação de uma PSI, deve haver na estrutura da organização uma 
área responsável que deverá indicar um gestor qualificado para analisar e manter a política. Essa área deve 
iniciar o processo de elaboração da PSI, coordenando sua implantação, aprovação e revisões, bem como 
fazendo a designação de funções de segurança. II. Pessoas de áreas críticas e os diversos gestores e 
proprietários dos sistemas informatizados devem participar do comitê de segurança. Os membros da alta 
administração não devem opinar na elaboração da PSI para não imporem regras desnecessárias, mas a PSI 
deve ser aprovada pelo mais alto dirigente da empresa. III. A criação de um comitê de política de segurança é 
crucial. O comitê terá a função legisladora do processo e deve ser composto de pessoas interessadas na criação 
da política que representem os principais setores da organização, como TI, jurídico, engenharia, infraestrutura, 
recursos humanos etc. IV. A norma ISO/IEC 27002, que trata da PSI foi atualizada para a ABNT NBR ISO/IEC 
17799 em julho de 2007 e já recebeu outras atualizações como ABNT NBR ISO/IEC 17799: 2013. Você, como 
um profissional de segurança, pode afirmar que estão corretas as afirmativas: 
 
 
I, II, III e 
IV. 
 
I e III, 
apenas. 
 
I, II e IV, 
apenas. 
 
III e IV, 
apenas. 
 
 
 
 2a Questão 
 
Considere os cuidados com a segurança da informação. I. O acesso a áreas que armazenem informações 
sensíveis, como o data center, deve possuir controles lógicos mais rigorosos, como autorização justificada, 
controles biométricos, câmeras de vigilância, portas à prova de bala, guarda armada e auditoria. II. 
Funcionários com identificação com foto podem acessar áreas seguras, mas o acesso de terceiros e prestadores 
de serviço operacional a essas áreas deve ser proibido. III. O controle de acesso às diversas áreas da 
organização deve ser feito, com registro de quem e quando entra, do que pode ser acessado, do que foi 
acessado e de quando sai. IV. Visitantes devem ser identificados, autorizados e sempre acompanhados por um 
responsável em todos os locais por onde passarem. Você, como um profissional de segurança, não vendo erros, 
recomendaria o que consta em: 
 
 
I, II, III e 
IV. 
 
III e IV, 
apenas. 
 
I, II e IV, 
apenas. 
 
II e III, 
apenas. 
 
 
 
 3a Questão 
 
Uma empresa adotou as seguintes políticas de segurança: I. Uma cujo objetivo é criar um modelo para prover e 
administrar privilégios de acesso de pessoas que atuam na empresa. II. A outra é separação entre as funções 
de autorização, aprovação de operações, execução, controle e contabilização, de forma que nenhuma pessoa 
ligada à empresa detenha poderes e atribuições em desacordo com este princípio de controle interno. As 
políticas indicadas em I e II correspondem, correta e respectivamente, a: 
 
 
Role Based Access Control (RBAC) e Segregation of duties (SoD). 
 
Perfil por Função e Role Based Access Control (RBAC). 
 
Segregation of duties (SoD) e Role Based Access Control (RBAC). 
 
Perfil por Função e Segregação de Funções. 
 
 
 
 4a Questão 
 
Ao se projetar um ambiente em que vá funcionar um data center, qual das recomendações NÃO deve ser 
seguida? 
 
 
O piso deve ser elevado, pois facilita a passagem de cabos de dados, fios de energia elétrica, permite 
uma melhor distribuição de linhas de comunicação e ainda pode ajudar na instalação de equipamentos 
contra incêndio. 
 
As paredes devem ser de concreto ou de alvenaria, capazes de suportar impactos ou abalos até mesmo 
do porte de furacões, evitando-se janelas ou outras aberturas. Deve haver porta corta-fogo. 
 
Os materiais devem ser antichamas e não combustíveis e é importante que haja detectores de fumaça e 
detectores de câmaras de aspiração que podem diagnosticar um incêndio através da análise do ar com 
raios laser. 
 
A energia deve ser limpa, com aterramento eficaz, devendo contar com sistema robusto de no-break e 
gerador a gás ou diesel, funcionando como fornecedor de energia redundante. Deve-se priorizar a 
instalação de um sistema do tipo IPS ¿ Interruptible Power Supply. 
 
 
 
 5a Questão 
 
O log: 
 
 
reúne registros de atividades gerados por programas e serviços de um computador, que podem ser 
armazenados em arquivos, na memória do computador ou em bases de dados. 
 
detecta o uso indevido do computador, como um usuário tentando acessar arquivos de outros usuários, 
ou alterar arquivos do sistema. 
 
rastreia e audita as ações executadas por um usuário no computador, como programas utilizados, 
comandos executados e tempo de uso do sistema. 
 
detecta um ataque, como de força bruta ou a exploração de alguma vulnerabilidade e detecta problemas 
de hardware ou nos programas e serviços instalados no computador. 
 
 
 
 6a Questão 
 
Analise as afirmativas e marque a INCORRETA. 
 
 
A criptografia de chaves assimétricas, apesar de ter processamento mais lento que a de chave simétrica, 
não requer que se mantenha uma chave secreta com cada um que desejar se comunicar e dispensa a 
necessidade de um canal de comunicação seguro para o compartilhamento de chaves públicas. 
 
Caso um sistema seja atacado e o ataque consiga impactá-lo de tal forma que se torne inoperante, ele 
nunca deve falhar, pois a falha permitiria o acesso do atacante. Assim, mesmo que a integridade tenha 
sido afetada, a disponibilidade permanecerá intacta. 
 
Para manter a segurança quando mudanças ocorrem, deve-se geri-las de forma sistemática. Para isso, 
antes de realizar qualquer alteração, deve-se planejar bem os passos, testá-los em um ambiente 
separado e registrar as alterações realizadas. 
 
Quando todos os funcionários da empresa assumem sua responsabilidade na segurança e o 
administrador consegue delegar parte destas responsabilidades para pessoas-chave na empresa, 
consegue-se atingir a participação universal. 
 
 
 
 7a Questão 
 
Considere as afirmativas e assinale a INCORRETA: 
 
 
Uma informação pode passar da classificação confidencial para pública em questão de horas. Nesse caso, 
o ativo de informação tornado público pode deixar de ser interessante e sua proteção torna-se 
desnecessária. 
 
A informação não mantém o mesmo valor ao longo do tempo. Alguns ativos de informação podem 
perder seu valor depois de determinado tempo ou evento. 
 
A informação deve ser mantida íntegra, correta e disponível somente para os usuários autorizados a 
acessá-la. Mesmo esse acesso legítimo sendo assegurado, ainda é necessário garantir que os usuários 
utilizem corretamente as informações. 
 
Informações sobre pesquisa, procedimentos de suporte ou operação, planos de continuidade do negócio, 
procedimentos de recuperação e trilhas de auditoria são exemplos de ativos de informações intangíveis. 
 
 
 
 8a Questão 
 
Os procedimentos de controle devem incluir todos os cuidados listados, EXCETO: 
 
 
Verificação da autorização do proprietário do sistema para o uso do sistema de informação ou serviço. 
 
Confirmação através de e-mail ou SMS de que o usuário está ciente das condições de acesso. 
 
Remoção ou modificação dos direitos de acesso a usuários que mudaram de funções ou se desligaram da 
organização. 
 
Verificação de IDs redundantes antes de validar um novo ID. 
 
 
 
 9a Questão 
 
Um gestor de segurança da informação, ao contratar um serviço de outsourcing, deve tomar as seguintes 
precauções: I. O prestador de serviço deve conhecer profundamente as regras do negócio da empresa e 
atender os usuários cumprindo prazos e critérios de qualidade de atendimento firmados em contrato, cujo 
modelo deve ser o fornecido pelo COBIT. II. O prestador de serviço deve trabalhar com medidas 
preventivas que antecipem problemas possíveis, em vez de apenas criar um relatório detalhado de falhas 
ocorridas. III. Deve-se contratar separadamente serviços de muitos fornecedores, de forma a garantir 
competitividade que gere aumentode qualidade na prestação de serviço e redução de custos. Completa 
corretamente o sentido da questão o que consta em: 
 
 
 
II, 
apenas. 
 
II e III, 
apenas. 
 
I e III, 
apenas. 
 
I, II e 
III. 
 
 
 
 10a Questão 
 
A gestão operacional: I. visa assegurar o sucesso das operações dos recursos de processamento da informação, 
reduzindo os riscos de mau uso ou uso doloso dos sistemas. II. deve contar com um documento que contenha 
procedimentos detalhados de ações a serem tomadas apenas nas situações rotineiras, como inicializar e 
desligar computadores, gerar cópias de segurança, dar manutenção aos equipamentos, fazer tratamento de 
mídias e correspondências, etc. III. deve solicitar que funcionários descrevam as situações possíveis 
relacionadas ao trato com os recursos de processamento da informação, bem como aquelas que fogem da 
rotina e aquelas que nunca ocorreram, mas que acreditam que um dia poderão ocorrer, nem que seja uma 
única vez. Completa corretamente o sentido da questão o que consta em: 
 
 
I e III, 
apenas. 
 
II e III, 
apenas. 
 
I e II, 
apenas. 
 
I, II e III.