Prévia do material em texto
1a Questão Acerto: 0,0 / 0,2 Em relação à segurança da informação e aos controles de acesso físico e lógico, considere: I. Se um usuário não mais faz parte a lista de um grupo de acesso aos recursos de processamento da informação, é certo que o grupo seja extinto com a criação de um novo, contendo os usuários remanescentes. II. Direitos de acesso (físicos e lógicos) que não foram aprovados para um novo trabalho devem ser retirados ou adaptados, incluindo chaves e qualquer tipo de identificação que associe a pessoa ao novo projeto. III. O acesso às áreas em que são processadas ou armazenadas informações sensíveis deve ser controlado e restrito às pessoas autorizadas, preferencialmente por controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number). Está correto o que se afirma em I, II e III. II e III, apenas. I e III, apenas. III, apenas. I e II, apenas. Respondido em 26/09/2023 14:41:12 Explicação: Do ponto de vista de gerenciamento, não faz sentido excluir todos os usuários (o grupo) apenas para revogar o acesso de um único usuário que não tenha mais permissão. 2a Questão Acerto: 0,2 / 0,2 (UFES/2014) O termo "Engenharia Social" é comumente utilizado para se referir a técnicas utilizadas por pessoas mal-intencionadas que abusam de relações sociais para conseguir informações sigilosas ou acesso a sistemas. Dos cenários abaixo, NÃO caracteriza um caso de Engenharia Social o que está descrito em Após fornecer seu endereço de e-mail em um site para se cadastrar, você recebe uma mensagem de e-mail desse site pedindo que você clique em um link para confirmar o seu cadastro. Você recebe um e-mail indicando que acaba de ser sorteado com um prêmio e instruindo-o a acessar um determinado site e preencher o cadastro para coletar o seu prêmio. Uma pessoa liga para você, identifica-se como sendo de uma empresa prestadora de serviços (ex.: de telefonia), explica que há um problema no seu cadastro e pede que você informe vários dados pessoais, como nome completo, endereço, etc. Em um ambiente de trabalho, uma pessoa liga, identifica-se como administrador dos sistemas da empresa e solicita que você siga uma série de passos, incluindo acesso a sites na internet e instalação de softwares, para melhorar o desempenho da sua máquina. Você recebe um e-mail alertando sobre um novo vírus muito perigoso e orientando-o a procurar por determinado arquivo em seu sistema e, caso ele exista, excluí-lo imediatamente e repassar a mensagem a todos os seus conhecidos. Respondido em 26/09/2023 14:40:24 Explicação: A Engenharia Social é um método de ataque que utiliza a persuasão para obter dados sigilosos do usuário, seja por meios eletrônicos ou não. Normalmente, o atacante se passa por alguém confiável, como uma instituição conhecida, como um banco ou empresa. A opção correta mencionada refere-se apenas a um procedimento de confirmação, comum quando você se cadastra em um site e recebe uma mensagem para confirmar a validade do seu endereço de e-mail. 3a Questão Acerto: 0,2 / 0,2 Assinale a assertiva que NÃO representa um dos benefícios para a adoção da norma ABNT NBR ISO/IEC 27001:2013 por uma organização: Oportunidade de identificar e eliminar fraquezas Fornece segurança a todas as partes interessadas Participação da gerência na Segurança da Informação Mecanismo para minimizar o fracasso do sistema Isola recursos com outros sistemas de gerenciamento Respondido em 26/09/2023 14:40:04 Explicação: A resposta correta é: Isola recursos com outros sistemas de gerenciamento. 4a Questão Acerto: 0,2 / 0,2 O sistema de backup de missão crítica é também chamado de ambiente de: Personal Identification Number. Personal Unblocking Key. Ransomware. Disaster Recovery. Daily Backup. Respondido em 26/09/2023 14:39:35 Explicação: A resposta correta é: Disaster Recovery. 5a Questão Acerto: 0,2 / 0,2 O sistema de monitoramento de nobreak detectou uma variação na tensão elétrica na entrada dos aparelhos, mas essa variação não foi o suficiente para causar danos aos equipamentos de computação a eles conectados. Conforme os termos relacionados à segurança da informação, o que ocorreu pode ser classificado como: Eletricidade Variação Evento Dano Tensionamento Respondido em 26/09/2023 14:39:22 Explicação: A resposta correta é: Evento 6a Questão Acerto: 0,2 / 0,2 O Risco é um conceito importante quando se trata do Plano de Continuidade de Negócios (PCN). A respeito do Risco, selecione a opção correta: Evento súbito e imprevisto que provoca grandes perdas ou danos a uma organização. Normalmente não podem ser controlados. É um conceito abstrato e com baixa chance de se transformar em um desastre. Possível evento que pode causar perdas ou danos, ou dificultar o atingimento de objetivos. Não pode ser analisado em termos probabilísticos, uma vez que sempre está presente. Respondido em 26/09/2023 14:38:56 Explicação: A resposta correta é: Possível evento que pode causar perdas ou danos, ou dificultar o atingimento de objetivos. 7a Questão Acerto: 0,2 / 0,2 O crescimento das redes abertas fez com que surgissem vários problemas de segurança, que vão desde o roubo de senhas e interrupção de serviços até problemas de personificação, em que uma pessoa faz- se passar por outra para obter acesso privilegiado. Com isso, surgiu a necessidade de verificação da identidade tanto dos usuários quanto dos sistemas e processos. Dentro desse contexto, esse ato de verificação é chamado: confiabilidade. acessibilidade. configuração. cadastro. autenticação. Respondido em 26/09/2023 14:38:31 Explicação: A resposta correta é: Autenticação. 8a Questão Acerto: 0,0 / 0,2 Considere que uma equipe esteja trabalhando num software web com severas restrições de segurança. Além dos desenvolvedores e analistas, essa equipe conta com profissionais especialistas em segurança que têm, entre outras atribuições, a responsabilidade de realizar a revisão dos códigos a fim de evitar vulnerabilidades. Se durante a etapa de desenvolvimento um revisor da equipe de segurança detectar uma vulnerabilidade, é sua responsabilidade: Corrigir a vulnerabilidade, contatando os desenvolvedores que programaram o trecho de código vulnerável. Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja resolvido. Separar a vulnerabilidade, tratando o código com erro como mais um problema que requer correção. Corrigir o problema e relatar a vulnerabilidade à equipe de segurança. Isolar o problema e solicitar que a equipe de desenvolvimento corrija a vulnerabilidade imediatamente. Respondido em 26/09/2023 14:38:02 Explicação: A resposta correta é: Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja resolvido. 9a Questão Acerto: 0,2 / 0,2 Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013: 6.1.3 Tratamento de riscos de segurança da informação A organização deve definir a aplicar um processo de tratamento de riscos de segurança da informação para: (...) b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação. d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 6.1.3 b) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A. Uma empresa que está se preparando parasofrer uma auditoria checou que não constam na Declaração de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de controle e controles constantes na norma. De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como "Não-conformidade"? Indica uma simples observação a ser feita Falta informação nessa checagem para classificar Não se aplica a esta norma Não Sim Respondido em 26/09/2023 14:41:19 Explicação: A resposta correta é: Sim. 10a Questão Acerto: 0,2 / 0,2 O processo de proteção de dados é um conjunto de ações que têm como objetivo garantir a segurança e a privacidade das informações armazenadas por uma organização ou indivíduo. Esse processo envolve a implementação de medidas técnicas, organizacionais e legais que visam prevenir o acesso, o uso, a alteração, a destruição ou a divulgação não autorizada de dados sensíveis. Nesse sentido, qual das opções abaixo é uma razão válida para justificar a importância de se realizar backups regularmente como medida de segurança da informação? Backup é um desperdício de tempo e recursos, uma vez que as informações raramente são perdidas ou corrompidas. Os backups são úteis apenas para fins de auditoria e conformidade regulatória, e não têm relação direta com a segurança da informação. Realizar backups permite que você se livre de dados antigos e desnecessários, liberando espaço de armazenamento valioso. Caso as informações sejam perdidas ou corrompidas devido a falhas de hardware, malware ou erros humanos, um backup recente pode ser restaurado, garantindo a continuidade das operações. Os backups são importantes apenas para grandes empresas que precisam proteger grandes quantidades de dados confidenciais. Respondido em 26/09/2023 14:35:38 Explicação: Caso as informações sejam perdidas ou corrompidas devido a falhas de hardware, malware ou erros humanos, um backup recente pode ser restaurado, garantindo a continuidade das operações. Realizar backups regularmente é uma medida fundamental de segurança da informação, pois permite que, em caso de perda, corrupção ou inacessibilidade de dados, uma cópia recente e íntegra possa ser restaurada, minimizando os prejuízos para a organização. Falhas de hardware, ataques de malware e erros humanos são comuns e podem resultar na perda de dados importantes. Portanto, é crucial que backups sejam realizados regularmente e que sejam armazenados em locais seguros e protegidos contra ameaças físicas e lógicas. Além disso, backups também podem ser úteis em situações de desastres naturais, como incêndios, inundações e terremotos, que podem destruir completamente os dados armazenados em um único local.