Atividade 2 (A2) - GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO
QUESTIONÁRIO
Segundo a ISO 27001, uma análise de riscos deve produzir resultados comparáveis, ou seja, deve ser possível analisar se os riscos aumentaram, diminuíram ou permaneceram iguais entre as análises. Quando uma Organização não implementa nenhum controle para diminuir um risco, mas continua utilizando o ativo para exercer suas atividades, podemos dizer que ela está:
 ABNT- ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos. Rio de Janeiro, 2005.
a.Aceitando o risco
Questão 2
Texto da questão
A Lei Geral de Proteção de Dados (LGPD) exige que as empresas tenham um profissional responsável pela proteção de dados pessoais e o definiu como Encarregado. O Encarregado pode ser uma pessoa física, funcionário da empresa, como o Oficial de Segurança, por exemplo, ou uma pessoa jurídica.
 BRASIL, Lei nº 13.853, de 8 de julho de 2019- Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados. Diário Oficial da união. Disponível em: < http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1>. Acesso em: 27 Jan. 2020.
 Assinale a alternativa correta que apresenta quais as atribuições do Encarregado definidas na LGPD:
 b.Atuar como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)
Questão 3
Texto da questão
Em geral, riscos maiores demandam maior prioridade que os menores. Na área de segurança da informação, o cálculo do risco envolve algumas variáveis, como vulnerabilidade, ameaças, impacto e controles ou medidas de segurança. Sêmola (2014, p. 56) propõe um fórmula para este cálculo:
 “RISCO = (Vulnerabilidade x Ameaças x Impacto) / Medidas de Segurança”.
 SÊMOLA, M. Gestão da Segurança da Informação - Uma Visão Executiva - 2 ed. São Paulo: Elsevier, 2014, p. 56.
 Assinale a alternativa correta que representa a variável impacto nesta fórmula:
e.O nível de relevância/importância de um ativo para a Organização
Questão 4
A ISO 27002 oferece uma gama de sugestões para implementação de controles que visam a segurança da informação que se adequam à empresas de qualquer ramo de atividade ou tamanho, sejam públicas ou privadas Dentre as tantas sugeridas, uma se refere a política de Mesa Limpa e Tela Limpa.
 ABNT- ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO/IEC 27002:2013: Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação. Rio de Janeiro, 2013.
 Assinale a alternativa correta que apresenta qual seu objetivo:
e.Não deixar dados sigilosos a vista, como senhas de acesso anotadas em papéis sobre a mesa, em gavetas destrancadas, ou deixar a estação de trabalho desbloqueada.
Questão 5
Um firewall, seja corporativo ou não, pode controlar tanto as conexões de entrada quanto as conexões de saída de uma estação de trabalho na rede, independente do seu sistema operacional. O mesmo também é verdadeiro para os servidores. Além disso, há os firewalls baseados em software e os que que são baseados em hardware.
Sendo assim, o firewall pode ser considerado um ativo de informação de qual tipo? Assinale a alternativa correta:
b.Ativo de tecnologia
Questão 6
Texto da questão
Risco é a probabilidade de que ameaças explorem vulnerabilidades nos ativos, causando impacto ao negócio de uma Organização. Quanto maior o valor do ativo em termos de relevância para a correta execução dos processos internos, maior o impacto causado pela materialização do risco caso ocorram incidentes de segurança.
 Assinale a alternativa correta em relação a periodicidade de uma análise de riscos em uma organização, segundo a ISO 27001, seja na versão 2005 ou 2013.
d.Deve ser cíclico, porém sem uma periodicidade predeterminada pela ISO 27001.
Questão 7
Texto da questão
A ISO 27000 descreve a visão geral e o vocabulário de um sistema de Gestão de Segurança da Informação (SGSI), sendo referência em relação aos termos e definições utilizados para toda sua família, como a ISO 27001, 27002 e 27005, por exemplo, assim como ocorre com outras normas, como a ISO 9000.
 Em relação à ISO 27001, 27002 e 27005, analise as afirmativas a seguir e assinale V para a(s) verdadeiras e F para a(s) falsas:
 I. ( ) A ISO 27001 trata da implementação de um Sistema de Gestão de Segurança da Informação (SGSI)
II. ( ) A ISO 27002 é uma referência para seleção de controles para implementação de um SGSI
III. ( ) A ISO 27005 é voltada para definição de diretrizes aplicadas a Gestão de Riscos da Segurança da Informação
IV. ( ) A ISO 27002 trata da implementação de um Sistema de Gestão de Segurança da Informação (SGSI)
V. ( ) A ISO 27001 é uma referência para seleção de controles para implementação de um SGSI
 Assinale a alternativa que apresenta a sequência correta:
 d.V, V, V, F, F
Questão 8
O Oficial de Segurança é a figura central do Comitê Corporativo de Segurança da Informação, sendo o principal executivo da empresa nesta área. A exigência para este cargo requer muitas tarefas e desafio, ultrapassando o requerimento de apenas conhecimento tecnológicos.
 A respeito dos desafios e tarefas de um Oficial de Dados, analise as afirmativas a seguir e assinale V para a(s) verdadeiras e F para a(s) falsas:
 I. ( ) Entender dos negócios da empresa
II. ( ) Entender o segmento de mercado ao qual a empresa está inserida
III. ( ) Adequar o planejamento de segurança ao orçamento disponibilizado
IV. ( ) Deter técnicas de administração de redes Windows ou Linux
V. ( ) Manter a empresa segura, em conformidade com as normas de segurança e consequentemente com maior valor agregado
 Assinale a alternativa que apresenta a sequência correta:
c.V, V, V, F, V
Questão 9
VPN (virtual private network) é uma rede virtual que consiste em interligar duas redes privadas ou uma estação de trabalho e uma rede privada. Em ambos os casos, a comunicação é feita através da internet. Como a internet é um meio público compartilhado, segurança e desempenho devem ser avaliados.
 Diante do exposto, assinale a alternativa correta:
 c.Todos os pacotes de dados trafegados na VPN são criptografados por motivos de segurança, uma vez que utilizam um meio público, com a internet, para comunicação
Questão 10
Texto da questão
Um Sistema de Gestão de Segurança da Informação deve ser avaliado, corrigido e aperfeiçoado sempre que necessário. Pessoas que realizam trabalho sob o controle da Organização executam suas tarefas de acordo com a Política de Segurança da Informação (PSI) da Organização.
 Sobre o não cumprimento desta PSI por parte destas pessoas e suas possíveis penalidades, assinale a alternativa correta:
b.as penalidades impostas devem ser internas e não podem se sobrepor à leis superiores, como as municipais, estaduais e federais
.