Baixe o app para aproveitar ainda mais
Prévia do material em texto
1a Questão Considere as afirmativas sobre PSI. I. Para a criação de uma PSI, deve haver na estrutura da organização uma área responsável que deverá indicar um gestor qualificado para analisar e manter a política. Essa área deve iniciar o processo de elaboração da PSI, coordenando sua implantação, aprovação e revisões, bem como fazendo a designação de funções de segurança. II. Pessoas de áreas críticas e os diversos gestores e proprietários dos sistemas informatizados devem participar do comitê de segurança. Os membros da alta administração não devem opinar na elaboração da PSI para não imporem regras desnecessárias, mas a PSI deve ser aprovada pelo mais alto dirigente da empresa. III. A criação de um comitê de política de segurança é crucial. O comitê terá a função legisladora do processo e deve ser composto de pessoas interessadas na criação da política que representem os principais setores da organização, como TI, jurídico, engenharia, infraestrutura, recursos humanos etc. IV. A norma ISO/IEC 27002, que trata da PSI foi atualizada para a ABNT NBR ISO/IEC 17799 em julho de 2007 e já recebeu outras atualizações como ABNT NBR ISO/IEC 17799: 2013. Você, como um profissional de segurança, pode afirmar que estão corretas as afirmativas: I, II, III e IV. I e III, apenas. I, II e IV, apenas. III e IV, apenas. 2a Questão Considere os cuidados com a segurança da informação. I. O acesso a áreas que armazenem informações sensíveis, como o data center, deve possuir controles lógicos mais rigorosos, como autorização justificada, controles biométricos, câmeras de vigilância, portas à prova de bala, guarda armada e auditoria. II. Funcionários com identificação com foto podem acessar áreas seguras, mas o acesso de terceiros e prestadores de serviço operacional a essas áreas deve ser proibido. III. O controle de acesso às diversas áreas da organização deve ser feito, com registro de quem e quando entra, do que pode ser acessado, do que foi acessado e de quando sai. IV. Visitantes devem ser identificados, autorizados e sempre acompanhados por um responsável em todos os locais por onde passarem. Você, como um profissional de segurança, não vendo erros, recomendaria o que consta em: I, II, III e IV. III e IV, apenas. I, II e IV, apenas. II e III, apenas. 3a Questão Uma empresa adotou as seguintes políticas de segurança: I. Uma cujo objetivo é criar um modelo para prover e administrar privilégios de acesso de pessoas que atuam na empresa. II. A outra é separação entre as funções de autorização, aprovação de operações, execução, controle e contabilização, de forma que nenhuma pessoa ligada à empresa detenha poderes e atribuições em desacordo com este princípio de controle interno. As políticas indicadas em I e II correspondem, correta e respectivamente, a: Role Based Access Control (RBAC) e Segregation of duties (SoD). Perfil por Função e Role Based Access Control (RBAC). Segregation of duties (SoD) e Role Based Access Control (RBAC). Perfil por Função e Segregação de Funções. 4a Questão Ao se projetar um ambiente em que vá funcionar um data center, qual das recomendações NÃO deve ser seguida? O piso deve ser elevado, pois facilita a passagem de cabos de dados, fios de energia elétrica, permite uma melhor distribuição de linhas de comunicação e ainda pode ajudar na instalação de equipamentos contra incêndio. As paredes devem ser de concreto ou de alvenaria, capazes de suportar impactos ou abalos até mesmo do porte de furacões, evitando-se janelas ou outras aberturas. Deve haver porta corta-fogo. Os materiais devem ser antichamas e não combustíveis e é importante que haja detectores de fumaça e detectores de câmaras de aspiração que podem diagnosticar um incêndio através da análise do ar com raios laser. A energia deve ser limpa, com aterramento eficaz, devendo contar com sistema robusto de no-break e gerador a gás ou diesel, funcionando como fornecedor de energia redundante. Deve-se priorizar a instalação de um sistema do tipo IPS ¿ Interruptible Power Supply. 5a Questão O log: reúne registros de atividades gerados por programas e serviços de um computador, que podem ser armazenados em arquivos, na memória do computador ou em bases de dados. detecta o uso indevido do computador, como um usuário tentando acessar arquivos de outros usuários, ou alterar arquivos do sistema. rastreia e audita as ações executadas por um usuário no computador, como programas utilizados, comandos executados e tempo de uso do sistema. detecta um ataque, como de força bruta ou a exploração de alguma vulnerabilidade e detecta problemas de hardware ou nos programas e serviços instalados no computador. 6a Questão Analise as afirmativas e marque a INCORRETA. A criptografia de chaves assimétricas, apesar de ter processamento mais lento que a de chave simétrica, não requer que se mantenha uma chave secreta com cada um que desejar se comunicar e dispensa a necessidade de um canal de comunicação seguro para o compartilhamento de chaves públicas. Caso um sistema seja atacado e o ataque consiga impactá-lo de tal forma que se torne inoperante, ele nunca deve falhar, pois a falha permitiria o acesso do atacante. Assim, mesmo que a integridade tenha sido afetada, a disponibilidade permanecerá intacta. Para manter a segurança quando mudanças ocorrem, deve-se geri-las de forma sistemática. Para isso, antes de realizar qualquer alteração, deve-se planejar bem os passos, testá-los em um ambiente separado e registrar as alterações realizadas. Quando todos os funcionários da empresa assumem sua responsabilidade na segurança e o administrador consegue delegar parte destas responsabilidades para pessoas-chave na empresa, consegue-se atingir a participação universal. 7a Questão Considere as afirmativas e assinale a INCORRETA: Uma informação pode passar da classificação confidencial para pública em questão de horas. Nesse caso, o ativo de informação tornado público pode deixar de ser interessante e sua proteção torna-se desnecessária. A informação não mantém o mesmo valor ao longo do tempo. Alguns ativos de informação podem perder seu valor depois de determinado tempo ou evento. A informação deve ser mantida íntegra, correta e disponível somente para os usuários autorizados a acessá-la. Mesmo esse acesso legítimo sendo assegurado, ainda é necessário garantir que os usuários utilizem corretamente as informações. Informações sobre pesquisa, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação e trilhas de auditoria são exemplos de ativos de informações intangíveis. 8a Questão Os procedimentos de controle devem incluir todos os cuidados listados, EXCETO: Verificação da autorização do proprietário do sistema para o uso do sistema de informação ou serviço. Confirmação através de e-mail ou SMS de que o usuário está ciente das condições de acesso. Remoção ou modificação dos direitos de acesso a usuários que mudaram de funções ou se desligaram da organização. Verificação de IDs redundantes antes de validar um novo ID. 9a Questão Um gestor de segurança da informação, ao contratar um serviço de outsourcing, deve tomar as seguintes precauções: I. O prestador de serviço deve conhecer profundamente as regras do negócio da empresa e atender os usuários cumprindo prazos e critérios de qualidade de atendimento firmados em contrato, cujo modelo deve ser o fornecido pelo COBIT. II. O prestador de serviço deve trabalhar com medidas preventivas que antecipem problemas possíveis, em vez de apenas criar um relatório detalhado de falhas ocorridas. III. Deve-se contratar separadamente serviços de muitos fornecedores, de forma a garantir competitividade que gere aumentode qualidade na prestação de serviço e redução de custos. Completa corretamente o sentido da questão o que consta em: II, apenas. II e III, apenas. I e III, apenas. I, II e III. 10a Questão A gestão operacional: I. visa assegurar o sucesso das operações dos recursos de processamento da informação, reduzindo os riscos de mau uso ou uso doloso dos sistemas. II. deve contar com um documento que contenha procedimentos detalhados de ações a serem tomadas apenas nas situações rotineiras, como inicializar e desligar computadores, gerar cópias de segurança, dar manutenção aos equipamentos, fazer tratamento de mídias e correspondências, etc. III. deve solicitar que funcionários descrevam as situações possíveis relacionadas ao trato com os recursos de processamento da informação, bem como aquelas que fogem da rotina e aquelas que nunca ocorreram, mas que acreditam que um dia poderão ocorrer, nem que seja uma única vez. Completa corretamente o sentido da questão o que consta em: I e III, apenas. II e III, apenas. I e II, apenas. I, II e III.
Compartilhar