Avaliação segurança da Informação

Prévia do material em texto

As respostas corretas estão ocultas. 
Pontuação desta tentativa: 9,5 de 10 
Enviado 20 out em 15:49 
Esta tentativa levou 46 minutos. 
 
Pergunta 1 
0,5 / 0,5 pts 
A informação é um ativo que, como qualquer outro ativo importante, é essencial 
para os negócios de uma organização e, consequentemente, necessita ser 
adequadamente protegida. A informação pode existir em diversas formas. Ela 
pode ser impressa ou escrita em papel, armazenada e/ou transmitida por meios 
eletrônicos. Seja qual for a forma apresentada ou o meio por intermédio do qual 
a informação é compartilhada ou armazenada, é recomendado que ela seja 
sempre protegida adequadamente. Desde o momento em que é gerada, a 
informação pode passar por diversos meios que podem ou não tratá-la e/ou 
modificá-la. 
Selecione a alternativa que apresenta, na ordem CORRETA, as 4 etapas do ciclo 
de vida da informação: 
 
Manuseio, descarte, armazenamento e transporte. 
 
 
Manuseio, descarte, armazenamento e retenção 
 
 
Manuseio, transporte, armazenamento e descarte. 
 
 
Manuseio, armazenamento, transporte e descarte. 
 
 
Transporte, armazenamento, manuseio e descarte. 
 
O ciclo de vida a informação é dividido em 4 etapas, que são Manuseio, 
armazenamento, transporte e descarte. 
 
Pergunta 2 
0,5 / 0,5 pts 
Considere as seguintes afirmativas: 
I. São exemplos de ativo tangível: marca, reputação e catálogo intelectual. 
II. São exemplos de ativo intangível: produto, bem, equipamento, imóvel e 
informação em papel. 
III. Ativo pode ser definido como qualquer coisa que tenha valor para a 
Organização. 
Estão CORRETAS: 
 
Todas estão corretas 
 
 
I apenas. 
 
 
III apenas. 
 
 
II apenas. 
 
 
I e II apenas. 
 
Segundo a 27002, pode ser definido como ativo tudo que tem valor para 
organização. 
 
Pergunta 3 
0,5 / 0,5 pts 
Selecione nas alternativas a seguir o termo atribuído à fragilidade de um ativo ou 
grupo de ativos que pode ser explorado por uma ou mais ameaças: 
 
Risco 
 
 
Dano. 
 
 
Ameaça. 
 
 
Vulnerabilidade. 
 
 
Impacto. 
 
Uma vulnerabilidade pode ser definida como um vetor de ameaça, pois um 
ameaça ocorre através da exploração de uma vulnerabilidade. 
 
Pergunta 4 
0,5 / 0,5 pts 
Identifique nas alternativas a seguir a norma que tem por objetivo estabelecer o 
Código de prática para Gestão da Segurança da Informação para a implantação 
de sistemas de gestão da segurança da informação: 
 
ABNT NBR ISO/IEC 27005. 
 
 
ABNT NBR ISO/IEC 15504. 
 
 
ABNT NBR ISO/IEC 38500. 
 
 
ABNT NBR ISO/IEC 27001. 
 
 
ABNT NBR ISO/IEC 27002. 
 
A família de ISO's 27000 é formada por normas que tratam de Segurança de 
Informação, sendo a 27002 dedicada a Gestão da Segurança da Informação. 
 
Pergunta 5 
0,5 / 0,5 pts 
Identifique nas alternativas a seguir a norma que tem por objetivo estabelecer os 
requisitos de Sistema de Gestão de Segurança da Informação para a implantação 
de sistemas de Gestão da Segurança da Informação. 
 
ABNT NBR ISO/IEC 38500. 
 
 
ABNT NBR ISO/IEC 27002. 
 
 
ABNT NBR ISO/IEC 27001. 
 
 
ABNT NBR ISO/IEC 15504. 
 
 
ABNT NBR ISO/IEC 27005. 
 
A família de iSO's 27000, tem a 27001 como norma que é usada para avaliar os 
controles que são implementados tendo como base a 27002. 
 
Pergunta 6 
0,5 / 0,5 pts 
Identifique nas alternativas a seguir o aspecto da confiabilidade comprometido 
quando alguém obtém acesso não autorizado ao seu computador e lê todas as 
informações contidas na sua declaração de Imposto de Renda: 
 
Não repúdio. 
 
 
Disponibilidade. 
 
 
Confidencialidade. 
 
 
Retenção. 
 
 
Integridade. 
 
A Confidencialidade é parte do CID, ou seja, uns dos três pilares da segurança da 
informação, sendo responsável por garantir que a informação não será 
conhecida por pessoas que não estejam autorizadas para tal. 
 
Pergunta 7 
0,5 / 0,5 pts 
Selecione nas alternativas a seguir o termo que se refere à causa potencial de um 
incidente indesejado, que pode resultar em dano para um Sistema ou 
Organização: 
 
Exploit. 
 
 
Vulnerabilidade. 
 
 
Risco. 
 
 
Ameaça. 
 
 
Impacto. 
 
Uma Ameaça motivada também pela exploração de uma vulnerabilidade. 
 
Pergunta 8 
0,5 / 0,5 pts 
Como uma Empresa que tem maturidade nos processos de Segurança da 
Informação avalia o que é risco em nível aceitável? 
 
Criando um Blue Team. 
 
 
Criando um Red Team. 
 
 
Realizando o processo de BIA. 
 
 
Realizando um Pentest. 
 
 
Realizando o processo de Gerenciamento de Risco. 
 
O processo de Gerenciamento de Risco tem como etapa inicial o mapeamento e 
a Análise de Risco, que possibilita classificar os riscos, qualificando-os e 
quantificando-os. 
 
IncorretaPergunta 9 
0 / 0,5 pts 
Selecione nas alternativas a seguir um tipo de ameaça humana nãointencional: 
 
Incêndio culposo. 
 
 
Exploits. 
 
 
Engenharia social. 
 
 
Uso de pendrive com vírus. 
 
 
Desastre natural. 
 
Mesmo que seja de forma involuntária e não intencional, o uso de mídia como 
pendrive, CD, HD removível, pode sendo um vetor de ameaça, pois pode 
permitir a proliferação de Malware. 
 
Pergunta 10 
0,5 / 0,5 pts 
Qual é o tipo de política que define as regras sobre a realização de cópias de 
segurança, como tipo de mídia utilizada, período de retenção e frequência de 
execução: 
 
Política de privacidade. 
 
 
Política de confidencialidade. 
 
 
Política de senhas. 
 
 
Política de segurança. 
 
 
Política de backup. 
 
A Política de Backup é importante para possibilitar a recuperação de dados em 
caso de Incidentes. Todavia, um solução definida deve ter alinhamento com o 
negócio, considerando se RTO e RPO são aceitáveis. 
 
Pergunta 11 
0,5 / 0,5 pts 
Selecione nas alternativas a seguir a política que tem por objetivo evitar que 
papéis e mídias removíveis fiquem acessíveis a terceiros. 
 
Política de classificação da Informação. 
 
 
Política de backup. 
 
 
Política de mesa limpa. 
 
 
Política de retenção. 
 
 
Política de senhas. 
 
A Política de mesa limpa diz respeito à formalização da cultura de não se manter 
nada exposto na mesa de trabalho sem controle e sem o devido cuidado, para 
evitar a exposição de informações sensíveis. 
 
Pergunta 12 
0,5 / 0,5 pts 
Como são chamados os documentos estabelecidos por consenso e aprovados 
por um Organismo reconhecido, que fornece, para uso comum e repetitivo, 
regras, diretrizes ou características para atividades ou seus resultados, visando à 
obtenção de um grau ótimo de ordenação em um dado contexto? 
 
Manuais de boas práticas. 
 
 
Procedimentos. 
 
 
Políticas. 
 
 
Normas. 
 
 
Diretrizes. 
 
Normas são documentos relevantes, pois passam por um processo de criação 
rígido no qual diferentes proporcionais opinam e somam valor ao seu conteúdo. 
 
Pergunta 13 
0,5 / 0,5 pts 
Qual é o tipo de política que orienta os critérios para definição da criação das 
credenciais de acesso no que tange o quanto uma senha é forte? 
 
Política de backup. 
 
 
Política de uso aceitável. 
 
 
Política de senhas. 
 
 
Política de retenção. 
 
 
Política de privacidade. 
 
A Política de senhas é importante para motivar os colaboradores a manter suas 
senhas mais fortes e ter a preocupação de manter o segredo dela. 
 
Pergunta 14 
0,5 / 0,5 pts 
Qual é o nome da medida organizacional que visa a assegurar que a informação 
receba um nível adequado de proteção por meio de sua identificação, 
considerando seu valor, requisitos legais, sensibilidade e criticidade? 
 
Política de uso aceitável da rede. 
 
 
Política de backup. 
 
 
Política de cargos e salários. 
 
 
Política de retenção. 
 
 
Política de classificação da informação. 
 
A Política de Classificação da Informação é um processo importante que tem por 
objetivo valorar, classificando em níveis as informações manipuladas nos 
processosde uma organização, sendo uma ação muito importante para apoiar 
tomadas de decisão inerentes a ações como, por exemplo, para mitigar riscos. 
 
Pergunta 15 
0,5 / 0,5 pts 
Considere as seguintes afirmações sobre a Política de Segurança: 
I. A Política de Segurança da Informação tem por objetivo padronizar a 
segurança da Informação dentro da organização. 
II. Uma vez estabelecida, uma Política de Segurança não precisa ser 
constantemente revisada e atualizada. 
III. O apoio e a participação da alta administração no processo de implantação da 
Política de Segurança não são necessários. 
Pode-se afirmar que estão CORRETAS: 
 
Todas. 
 
 
I e III apenas. 
 
 
III apenas. 
 
 
I apenas. 
 
 
II apenas. 
 
A Segurança da Informação tem por objetivo padronizar a Segurança da 
Informação dentro da Organização, para proteger todos os ativos, considerando 
Tecnologia, processos e pessoa. 
 
Pergunta 16 
0,5 / 0,5 pts 
É um programa normalmente desenvolvido para fins maliciosos, que pode se 
propagar inserindo cópias de si mesmo, sem depender de uma ação do usuário, 
pois é parte de sua engenharia meios de autorreplicação. 
 
Worm. 
 
 
Rootkit. 
 
 
Phising. 
 
 
Vírus. 
 
 
Trojan. 
 
Worm (verme) é um tipo de Malware que tem em sua engenharia instruções 
para autopropagação automática, sem necessariamente depender da ação do 
usuário. 
 
Pergunta 17 
0,5 / 0,5 pts 
É um programa normalmente desenvolvido para fins maliciosos, que pode se 
propagar inserindo cópias de si mesmo, mas, para isso, depende de uma ação do 
usuário, como, por exemplo, a inserção de um pendrive. 
 
Rootkit. 
 
 
Vírus. 
 
 
Worm. 
 
 
Phising. 
 
 
Trojan. 
 
Originalmente, um vírus é um malware que necessita de algum vetor para se 
propagar, ou seja, não existe em sua engenharia a automação para propagação 
autônoma. Sua propagação dá-se a partir de uma ação do usuário, como enviar 
um arquivo contaminado para outro sistema, inserir um pendrive que possa já 
estar contaminado ou que será contaminado. 
 
Pergunta 18 
0,5 / 0,5 pts 
Selecione nas alternativas a seguir o nome atribuído ao agente que tem a 
responsabilidade pela guarda de um ativo de propriedade de terceiros: 
 
Proprietário. 
 
 
Gestor. 
 
 
Custodiante. 
 
 
Controlador. 
 
 
Usuário. 
 
O Custodiante é o indivíduo responsável pela guarda de um ativo de propriedade 
de terceiros. 
 
Pergunta 19 
0,5 / 0,5 pts 
A adoção de medidas de segurança pode ajudar uma organização não somente a 
prevenir incidentes de Segurança da Informação, mas, principalmente, a reduzir 
o tempo de resposta a um incidente, quando ele ocorre. 
Considere as seguintes afirmações sobre medidas de segurança: 
I. Medidas redutivas são aquelas destinadas a reduzir a probabilidade de que um 
incidente ocorra. 
II. Medidas repressivas são aquelas que procuram identificar um incidente no 
momento em que ele ocorre, por exemplo, sistema de detecção de intrusão. 
III. Medidas detectivas são aquelas combatem o dano causado pelo incidente. 
Estão CORRETAS: 
 
I e II, apenas. 
 
 
I , apenas. 
 
 
II, apenas. 
 
 
III, apenas. 
 
 
Todas. 
 
Medidas redutivas são todas a medidas que tem por objetivo mitigar a 
ocorrência de um incidente. 
 
Pergunta 20 
0,5 / 0,5 pts 
Identifique nas alternativas a seguir o nome da etapa na qual se finaliza o ciclo 
de vida da Informação: 
 
Armazenamento. 
 
 
Descarte. 
 
 
Retenção. 
 
 
Manuseio. 
 
 
Transporte. 
 
O Descarte é o fim do ciclo de vida da Informação. 
Pontuação do teste: 9,5 de 10