Quiz SASI - 1 Tentativa

Prévia do material em texto

• Pergunta 1 
1 em 1 pontos 
 
A norma ISO 27001 utiliza um modelo de melhoria continua denominado ....(a) .... para 
construção de um sistema de gestão de segurança da informação denominado .... (b).... 
formado por quatro fases: estabelecimento, implementação e operação, monitoramento 
e análise crítica e manutenção e melhoria contínua. 
Qual das alternativas abaixo completa corretamente as lacunas (a) e (b), respectivamente: 
 
Resposta Selecionada: c. 
PDCA, SGSI 
Respostas: a. 
Gestão de Riscos, ISO 27002 
 b. 
PDAC, ITIL 
 c. 
PDCA, SGSI 
 d. 
ISO 27002, PDCA 
Comentário da 
resposta: 
Alternativa C. PDCA e SGSI. A ISO 27001 faz uso de um modelo 
baseado na ferramenta PDCA (Plan-Do-Check-Act) para implantação e 
manutenção do SGSI. 
 
 
• Pergunta 2 
1 em 1 pontos 
 
Você está lidando com o processo de tratamento de riscos e está diante de um risco 
que precisa ser tratado adequadamente. Ao final de uma reunião da diretoria, ficou 
decidido que uma empresa será contratada para fornecer suporte em casos de 
ocorrência do risco. Qual estratégia foi utilizada para este risco? 
 
Resposta 
Selecionada: 
b. 
A empresa decidiu transferir o risco 
Respostas: a. 
A empresa decidiu aceitar o risco e conviver com ele 
 b. 
A empresa decidiu transferir o risco 
 c. 
A empresa decidiu ignorar o risco 
 
d. 
A empresa implantou o controle de "contratação de partes 
externas" para mitigar o risco 
 
Comentário da 
resposta: 
Alternativa B. A empresa decidiu transferir o risco. A transferência de 
risco é uma abordagem na qual a empresa transfere a responsabilidade 
do risco para uma outra empresa, normalmente uma seguradora. 
 
• Pergunta 3 
1 em 1 pontos 
 
Um fornecedor de serviços possui um nome que o identifica perante os controles da 
norma. Qual é este nome? 
 
Resposta Selecionada: c. 
Parte externa 
Respostas: a. 
Empregado 
 b. 
Parceiro de negócios 
 c. 
Parte externa 
 d. 
Contratado 
Comentário 
da resposta: 
Alternativa C. Parte externa. Normalmente são provedores de serviço, 
provedores de rede, de telefonia, serviços de apoio e manutenção. 
Também são definidos como partes externas os clientes, a terceirização 
de operações e recursos, operação da central de atendimento, 
consultores em negócio e em gestão, auditores, fornecedores de 
softwares e sistemas de TI, pessoal de limpeza, dentre outros. 
 
 
• Pergunta 4 
1 em 1 pontos 
 
Há vários tipos de ameaças à segurança da informação. Qual das ameaças abaixo pode 
ser classificada como uma ameaça humana? 
 
Resposta 
Selecionada: 
c. 
Um pen drive de um funcionário infectado com vírus 
Respostas: a. 
Uma falha no fornecimento de energia elétrica 
 b. 
Uma grande quantidade de sujeira na sala de computadores 
 c. 
Um pen drive de um funcionário infectado com vírus 
 
d. 
A liberação de uso de computadores sem necessidade de inserir a 
senha para acesso 
 
Comentário da 
resposta: 
Alternativa C. Um pen drive de um funcionário infectado com um 
vírus. O funcionário necessita ser capacitado para se prevenir contra 
estas ameaças. 
 
• Pergunta 5 
1 em 1 pontos 
 
João é o responsável por todas as impressoras da empresa. Em relação à terminologia 
da segurança da informação, podemos dizer que João é: 
 
Resposta Selecionada: a. 
O proprietário das impressoras 
Respostas: a. 
O proprietário das impressoras 
 b. 
O curador das impressoras 
 c. 
O membro diretor deste ativo 
 d. 
O dono das impressoras 
Comentário da 
resposta: 
Alternativa A. O proprietário das impressoras. Trata-se de uma 
pessoa ou organismo que tenha uma responsabilidade autorizada 
sobre um ativo. 
 
 
• Pergunta 6 
0 em 1 pontos 
 
Para o sucesso de uma política de segurança da informação faz-se necessário, 
normalmente, um documento que representa o comprometimento com a política de 
segurança da informação, apoiando metas e princípios estabelecidos na política. Quem é o 
sujeito mais indicado a assinar tal documento? 
 
Resposta Selecionada: b. 
O diretor de TI 
Respostas: a. 
O gestor da política 
 b. 
O diretor de TI 
 c. 
A alta direção da empresa 
 d. 
Os membros do sindicato 
Comentário da 
resposta: 
Alternativa C. A alta direção da empresa. É imprescindível o apoio e 
comprometimento da alta direção para a efetividade da política de segurança da 
informação, conforme preceituado nas normas ISO 27001 e ISO 27002. 
 
 
• Pergunta 7 
1 em 1 pontos 
 
A gestão da segurança da informação é um processo que necessita ser adotado por 
qualquer organização, independentemente de seu tamanho. Sobre essa adoção, qual 
das alternativas abaixo é verdadeira? 
 
Resposta 
Selecionada: 
c. 
A segurança da informação pode ser aplicada a qualquer instituição, 
consistindo na adoção de técnicas para proteger a informação. 
Respostas: a. 
A segurança da informação é um processo complexo e de alto custo. 
 
b. 
A segurança da informação pode ser adotada apenas por empresas 
com grande experiência no mercado, em virtude da dificuldade inerente 
ao processo de implantação. 
 
c. 
A segurança da informação pode ser aplicada a qualquer instituição, 
consistindo na adoção de técnicas para proteger a informação. 
 
d. 
Não é preciso um apoio da alta administração para a implantação da 
segurança da informação. 
Comentário 
da resposta: 
Alternativa C. A segurança da informação pode ser aplicada a qualquer 
instituição, consistindo na adoção de técnicas para proteger a 
informação. O processo de implantação da segurança da informação 
consiste em adotar técnicas para proteger a confidencialidade, 
integridade e disponibilidade da informação nos mais diversos níveis. 
 
 
• Pergunta 8 
1 em 1 pontos 
 
A ação da segurança da informação consiste em minimizar riscos. Sobre os riscos 
associados à informação, qual dos itens abaixo é um risco em potencial? 
 
Resposta 
Selecionada: 
b. 
O baixo nível de conscientização dos colaboradores sobre a 
importância em proteger a informação. 
Respostas: a. 
O desencontro de informações na empresa. 
 
b. 
O baixo nível de conscientização dos colaboradores sobre a 
importância em proteger a informação. 
 c. 
A falta de conhecimento sobre como funciona a empresa. 
 d. 
O alto grau de proteção da informação. 
 
Comentário 
da resposta: 
Alternativa B. O baixo nível de conscientização dos colaboradores sobre 
a importância em proteger a informação. A disseminação do 
conhecimento sobre a importância da segurança da informação atua na 
diminuição do risco à efetividade de uma política de segurança da 
informação. 
 
• Pergunta 9 
1 em 1 pontos 
 
A garantia da confidencialidade é uma das premissas de uma política de segurança da 
informação. Qual dos eventos abaixo representa uma ameaça à confidencialidade da 
informação? 
 
Resposta 
Selecionada: 
c. 
Os envelopes de malote que possuem conteúdos sigilosos não são 
lacrados devidamente 
Respostas: a. 
Um servidor de banco de dados é atacado e perde a conexão com os 
sistemas 
 b. 
Ninguém consegue efetuar login nas máquinas da empresa 
 
c. 
Os envelopes de malote que possuem conteúdos sigilosos não são 
lacrados devidamente 
 d. 
Um vírus infectou a máquina e corrompeu diversos arquivos 
Comentário 
da resposta: 
Alternativa C. Os envelopes de malote que possuem conteúdos 
sigilosos não são lacrados. A confidencialidade é a exposição da 
informação a uma parte não autorizada. Logo, um envelope de malote 
com conteúdos sigilosos necessita ser devidamente lacrado e 
identificado como confidencial. 
 
 
• Pergunta 10 
1 em 1 pontos 
 
Você está lidando com o processo de tratamento de riscos e está diante de um risco 
que precisa ser tratado adequadamente. Ao final de uma reunião da diretoria, ficou 
decidido que uma empresa será contratada para fornecer suporte em casos de 
ocorrência do risco. Qual estratégia derisco foi utilizada para este risco? 
 
Resposta 
Selecionada: 
b. 
A empresa decidiu transferir o risco. 
Respostas: a. 
A empresa decidiu aceitar o risco e conviver com ele. 
 b. 
A empresa decidiu transferir o risco. 
 
 c. 
A empresa decidiu ignorar o risco. 
 
d. 
A empresa implantou o controle de "contratação de partes externas" 
para mitigar o risco. 
Comentário da 
resposta: 
Alternativa B. A empresa decidiu transferir o risco. A transferência de 
risco é uma abordagem na qual a empresa transfere a responsabilidade 
do risco para outra empresa, normalmente uma seguradora.