Quiz 8 8

Prévia do material em texto

A criação de uma política de segurança também encontra respaldo em 
documentos abertos e oficiais, como a RFC 2196. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Conforme descrito no início do capítulo, página 1, e na RFC 2196, uma política de 
segurança encontra respaldo em documentos abertos e oficiais, sobretudo 
padrões abertos como as RFCs (Request for Comments). 
A resposta correta é 'Verdadeiro'. 
Questão 2 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
A política de segurança não é o documento mais importante na definição geral da 
segurança institucional, já que a implementação de firewalls e IDSs vêm em 
primeiro lugar. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Mesmo escrita em fases, a política de segurança é o elemento mais importante no 
projeto de segurança institucional, já que através dela são definidos os papéis de 
cada membro da organização no que tange à informação. 
A resposta correta é 'Falso'. 
Questão 3 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Uma das fases mais importantes na definição de uma política de segurança é a 
análise de riscos. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
De fato, a análise de riscos subsidia com fatos muitas das questões importantes na 
definição da política de segurança. 
A resposta correta é 'Verdadeiro'. 
Questão 4 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Toda política de segurança deve seguir regras rígidas na hora de sua concepção e 
implementação. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Ainda que haja boas práticas, uma política de segurança não possui regras gerais, 
conforme descrito na página 2 do material. 
A resposta correta é 'Falso'. 
Questão 5 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
A criação de uma política de segurança é um procedimento que engloba vários 
profissionais e o nível de comprometimento da organização em sua criação. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
De fato, várias áreas de diferentes conhecimentos, inclusive na área de TI, devem 
participar ativamente na construção de uma política de segurança, já que toda 
informação é um importante ativo. 
A resposta correta é 'Verdadeiro'. 
Questão 6 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Muitas das dificuldades de se implantar uma política de segurança encontram 
barreiras culturais, sobretudo dos usuários finais. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Várias das dificuldades encontradas em se criar e implantar uma política de 
segurança estão fundamentadas em mudanças culturais e organizacionais, 
conforme descrito no material didático. 
A resposta correta é 'Verdadeiro'. 
Questão 7 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Risco é todo perigo totalmente previsível e que sempre possui contramedidas. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Risco, conforme descrito no material didático, é uma situação de perigo cuja 
probabilidade pode ser calculada, mas não totalmente previsível, inclusive em 
termos de consequências. 
A resposta correta é 'Falso'. 
Questão 8 
Incorreto 
Atingiu 0,00 de 1,00 
Marcar questão 
Texto da questão 
Todo risco tem uma perda associada. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Nem todo risco pode ter uma perda associada, porque é probabilisticamente 
errado prever todos as consequências e perdas por conta dele. 
A resposta correta é 'Falso'. 
Questão 9 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
A análise de riscos visa sanar todos os riscos. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
O objetivo da análise de riscos é identificar os riscos e calcular probabilidades de 
ocorrência, bem como suas possíveis perdas. 
A resposta correta é 'Falso'. 
Questão 10 
Incorreto 
Atingiu 0,00 de 1,00 
Marcar questão 
Texto da questão 
A definição do escopo da abrangência da política de segurança é uma das 
medidas da análise de riscos. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Conforme o livro-texto, definir o escopo da abrangência da política é uma das 
primeiras medidas a serem tomadas. 
A resposta correta é 'Verdadeiro'. 
Questão 11 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Definir os ativos de informação, bem como classificá-los quanto à sua importância, 
faz parte da análise de riscos. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Sem a devida classificação de ativos, a análise de riscos pode tornar-se obsoleta, 
porque não consegue-se valorá-los em termos de importância. 
A resposta correta é 'Verdadeiro'. 
Questão 12 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Não é papel da segurança da informação adotar quaisquer que sejam os controles, 
a fim de minimizar riscos. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Um dos papéis fundamentais da segurança da informação é adotar todo tipo de 
controle, seja ele físico, tecnológico ou de processos que envolvam pessoas no 
tratamento da informação. 
A resposta correta é 'Falso'. 
Questão 13 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Identificar e calcular o impacto de vulnerabilidades existentes são medidas a 
serem tomadas durante a análise de riscos. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Durante a análise de riscos, encontrar vulnerabilidades e definir o seu provável 
impacto é uma das fases mais importantes da análise de riscos, considerando as 
ameaças cibernéticas existentes. 
A resposta correta é 'Verdadeiro'. 
Questão 14 
Incorreto 
Atingiu 0,00 de 1,00 
Marcar questão 
Texto da questão 
Fazem parte de ativos de hardware: computadores pessoais, laptops, tablets, 
roteadores e switches de rede. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Ativos de hardware são todos aqueles utilizados como hardware computacional, 
incluindo roteadores e switches de rede. 
A resposta correta é 'Verdadeiro'. 
Questão 15 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Ativos de informação classificados como dados incluem backups, arquivos de log, 
bem como dados transmitidos em meios de comunicação como a internet. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Dados são informações a serem processadas ou já processadas que podem estar 
em trânsito (transmitidos via rede de computadores) ou armazenados em mídias 
de comunicação, como arquivos pessoais, logs e bancos de dados. 
A resposta correta é 'Verdadeiro'. 
Questão 16 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Nenhuma organização pode classificar pessoas como ativos de informação, já que 
não são processáveis em termos computacionais. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Pessoas estão dentro do rol de ativos de informação porque qualquer ativo que 
manipule informações – direta ou indiretamente – é classificado como ativo de 
informação, inclusive ela mesma. 
A resposta correta é 'Falso'. 
Questão 17 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Documentos em forma de papel que contenham informações pessoais são 
considerados ativos de informação. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Quaisquer mídias que contenham informações são consideradas ativo de 
informação, e podem estar sujeitas a perdas e danos como quaisquer outros 
dados em mídias eletrônicas. 
A resposta correta é 'Verdadeiro'. 
Questão 18 
Incorreto 
Atingiu 0,00 de 1,00 
Marcar questão 
Texto da questão 
Os dados de uma instituição podem estar armazenados em vários tipos de ativos 
de informação, sejam eles em trânsito ou não. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Ativos de informação guardam ou processam dados que estejam armazenados 
fisicamente em mídias, bem como em trânsito, como é o caso dos ativos de rede 
responsáveis por transmitir dados de uma origempara um destino. 
A resposta correta é 'Verdadeiro'. 
Questão 19 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
A classificação de dados não tem relação com sua criticidade em termos de sigilo. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Dados de uma forma geral precisam ser classificados de acordo com o sigilo. 
Certos tipos de dados podem ser públicos; outros, privados, sigilosos. Dados 
financeiros, por exemplo, são em geral dados de cunho sigilosos. 
A resposta correta é 'Falso'. 
Questão 20 
Incorreto 
Atingiu 0,00 de 1,00 
Marcar questão 
Texto da questão 
Dados de salários de empregados – como por exemplo, dados financeiros – 
podem ter valoração alta e criticidade média. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Dados financeiros, como os salários – conforme página 4 do material oficial –, são 
em geral valorados como alto e de criticidade média. Essas atribuições podem 
variar de lugar para lugar de acordo com a criticidade de cada ativo de informação. 
A resposta correta é 'Verdadeiro'. 
Questão 21 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Em relação às vulnerabilidades de um sistema, em geral não é preciso conhecê-
las, já que estas podem ser comunicadas por terceiros. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
É crucial para um ambiente de TI conhecer as vulnerabilidades existentes como 
parte do processo de análise de riscos de TI de uma organização. Conhecê-las 
através de terceiros pode significar que elas já tenham sido exploradas sem o 
conhecimento da organização. 
A resposta correta é 'Falso'. 
Questão 22 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
A falta de conscientização dos usuários acerca do cenário atual de segurança é 
uma das mais graves vulnerabilidades existentes. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
De acordo com o material didático, de fato a falta de conscientização põe em risco 
toda uma organização, mesmo que ela tenha os mais sofisticados mecanismos de 
segurança existentes. 
A resposta correta é 'Verdadeiro'. 
Questão 23 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Um Sistema Operacional desatualizado não chega a ser uma vulnerabilidade, 
porque os atacantes precisam ter acesso físico aos computadores pessoais. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Sistemas em geral desatualizados são um grande risco, pois criam uma superfície 
de ataque muito grande para os atacantes. Atacantes não precisam ter acesso 
físico aos computadores-alvo de uma forma geral, já que muitas vulnerabilidades 
existentes permitem a execução remota de códigos maliciosos. 
A resposta correta é 'Falso'. 
Questão 24 
Incorreto 
Atingiu 0,00 de 1,00 
Marcar questão 
Texto da questão 
Em um centro de dados, o cabeamento elétrico mal instalado (como exemplo) não 
pode ser considerado uma vulnerabilidade. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Em qualquer ambiente de TI, o cabeamento elétrico que não foi adequadamente 
instalado é uma grave vulnerabilidade, já que desastres como curto-circuitos, 
incêndios e apagões podem não só danificar as informações, como deixá-las 
indisponíveis. 
A resposta correta é 'Verdadeiro'. 
Questão 25 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Curto-circuitos são um exemplo de ameaça que pode deixar as informações 
completamente indisponíveis. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Enquanto o cabeamento mal instalado é uma vulnerabilidade, o curto-circuito é a 
ameaça relacionada com essa vulnerabilidade. As consequências de um curto-
circuito pode tomar proporções inesperadas. 
A resposta correta é 'Verdadeiro'. 
Questão 26 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Phishing Scam e ataques de negação de serviço distribuídos (DDoS) são 
exemplos de ameaças. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Ataques DDoS e de phishing scam – embora relativamente antigos – ainda 
prevalecem no cenário mundial de segurança cibernética. 
A resposta correta é 'Verdadeiro'. 
Questão 27 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
A análise de risco não é uma avaliação sistemática do impacto dos negócios, e sim 
apenas probabilística. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Embora o fator probabilidade seja levado em conta em uma análise de riscos, a 
avaliação sistemática de todas as ameaças, vulnerabilidades, impacto e 
probabilidade é de fundamental importância em qualquer processo mais amplo de 
análise de riscos. 
A resposta correta é 'Falso'. 
Questão 28 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
A automação de processos em análise de riscos é uma forma eficiente de se medir 
com mais precisão e rapidez as relações de impacto e probabilidade. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Há ferramentas que automatizam o processo de análise de riscos de forma a 
representar as informações obtidas com maior legibilidade, inclusive em termos 
técnicos. 
A resposta correta é 'Verdadeiro'. 
Questão 29 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
De acordo com a norma ISO/IEC 27001, a análise de riscos não prevê a 
quantificação da correlação de ameaças e a probabilidade de elas ocorrerem. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Umas das premissas da norma ISO/IEC 27001 é exatamente a determinação da 
probabilidade de uma ameaça ocorrer frente a uma ou mais vulnerabilidades. 
A resposta correta é 'Falso'. 
Questão 30 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
O risco pode ser representado de forma genérica pela seguinte relação: ameaça x 
vulnerabilidade x probabilidade x impacto. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
De acordo com a página 5 do material didático, o risco pode ser representado pelo 
valor x criticidade x vulnerabilidade x ameaça. 
A resposta correta é 'Verdadeiro'. 
Questão 31 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
No cálculo do risco, a ameaça não assume nenhum papel predominante, 
sobretudo quando há uma ameaça real. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
A ameaça assume papel fundamental, porque a probabilidade de que ela ocorra é 
levada em consideração no cálculo do risco. 
A resposta correta é 'Falso'. 
Questão 32 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Todo impacto pode ser mitigável. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Não necessariamente, já que para determinados tipos de impacto, "a aceitação do 
risco" pondera se um plano de contingência pode ser utilizado ou não, ou ainda se 
ele será aceitável sem ressalvas. É possível conviver com um provável baixo 
impacto ao ambiente de TI. 
A resposta correta é 'Falso'. 
Questão 33 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Terceirizar o impacto é hoje a melhor forma de se lidar com os riscos. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
A melhor forma depende de cada ambiente, e não é possível generalizar tais 
conceitos. Terceirizar o impacto não significa mitigá-lo, significa transferir a 
terceiros a responsabilidade pelos seus planos de ação. 
A resposta correta é 'Falso'. 
Questão 34 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Mitigar o impacto de um risco é reduzir a probabilidade de ocorrência dele. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
De acordo com o material didático, mitigar é ao menos diminuir a probabilidade de 
que ele ocorra. Um plano de contenção quase sempre faz parte dos planos de 
mitigação de riscos. 
A resposta correta é 'Verdadeiro'. 
Questão 35 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Dos atores a serem envolvidos na construção de uma política de segurança da 
informação, o corpo técnico especializado é oque possui menor peso em termos 
de conhecimento. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
O corpo técnico especializado deve ser consultado desde a fase inicial da 
construção de uma política, já que muitos dos problemas de segurança hoje estão 
na esfera essencialmente técnica. Todos da organização, são, em geral, 
importantes na construção da política. 
A resposta correta é 'Falso'. 
Questão 36 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Das recomendações básicas, a integração com outras partes da organização ou 
até mesmo outras políticas não é levada em consideração. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
A integração é muito importante na construção da política de segurança da 
informação, porque toda informação deve ser levada em conta (como ativo 
essencial). 
A resposta correta é 'Falso'. 
Questão 37 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Uma política de segurança deve ser reforçada por procedimentos de segurança no 
sentido de ter ela implementada. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Uma política de segurança escrita e aprovada sem ter mecanismos que façam ela 
funcionar não possui efetividade. 
A resposta correta é 'Verdadeiro'. 
Questão 38 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
O comprometimento da alta direção em uma política de segurança não possui 
efeitos práticos. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
A alta direção tem papel fundamental na implantação da política, porque dita as 
diretrizes de como devem ser seguidos todos os procedimentos de segurança por 
toda a organização. 
A resposta correta é 'Falso'. 
Questão 39 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
A educação de segurança é um dos itens que devem ser previstos em uma política 
de segurança. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Além de educar os usuários acerca da temática de segurança, ações de educação 
também servem para divulgar amplamente o propósito e os tópicos da política de 
segurança em âmbito corporativo. 
A resposta correta é 'Verdadeiro'. 
Questão 40 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
A ISO 27002 é um código de boas práticas e prevê políticas de segurança em 
seus capítulos. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
A ISO 27002 é um conjunto de boas práticas internacional que, dentro de seus 
vários capítulos, especifica e explora em um deles mais claramente o tópico 
políticas de segurança. 
A resposta correta é 'Verdadeiro'. 
Questão 41 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Entre os normativos da NBSO, a questão de política de senhas não é prevista, e 
deve ficar a cargo dos administradores de sistemas defini-la. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Dentro dos normativos do NIC BR Security Office (NBSO), a política de senhas 
tem papel de destaque, e não deve ficar necessariamente a cargo dos 
administradores de sistemas. Pelo contrário, deve inclusive constar da política de 
segurança como um item global. 
A resposta correta é 'Falso'. 
Questão 42 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Considerando política de senhas, não faz parte do escopo a validade das senhas e 
a reutilização delas. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Tanto a validade das senhas como os requisitos de reutilização devem estar 
previstos na política de senhas, mesmo que em formas mais básicas. Reutilizar a 
mesma senha após o período de validade dela é um quesito contraditório, já que 
pressupõe-se que o usuário deve escolher "uma nova senha". 
A resposta correta é 'Verdadeiro'. 
Questão 43 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Entre os direitos e responsabilidades dos usuários, o uso aceitável de recursos 
está entre eles. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
O usuário deverá ter direitos e responsabilidades no uso de recursos como 
hardware, e-mail, entre outros. Esses direitos e responsabilidades devem estar 
previstos na política de segurança. 
A resposta correta é 'Verdadeiro'. 
Questão 44 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Segundo diretrizes do CERT.BR, uma política deve ser ampla e contemplar todos 
os aspectos de segurança computacional. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Por mais que uma política deva ser simples no sentido de não ser excessivamente 
extensa, ela de fato deve permear praticamente todos os aspectos de segurança 
computacional e de informações. 
A resposta correta é 'Verdadeiro'. 
Questão 45 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
A atualização da política não é um fator preponderante, considerando que ela deva 
ser um documento estático. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Toda política de segurança deve ser atualizada periodicamente, considerando que 
novas tecnologias, novos procedimentos, novas vulnerabilidades e novos ataques 
surgem constantemente. 
A resposta correta é 'Falso'. 
Questão 46 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Quando a política de segurança já está publicada e implementada, não é 
necessário haver um grupo que verifique a conformidade dela. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Na prática, a verificação de conformidade (compliance) também é uma fase 
importante do ciclo de uma política de segurança. A "compliance" de uma política 
acaba sendo importante, porque gera subsídios para uma possível atualização na 
política, e também pode ser utilizada para possíveis punições em casos de 
descumprimento. 
A resposta correta é 'Falso'. 
Questão 47 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Uma política de uso aceitável (PUA) é um subconjunto da política e pode ser 
criada para abranger aspectos mais diretos, como o uso do e-mail corporativo. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
A PUA pode ser utilizada para abranger de fato aspectos mais práticos e diretos do 
uso dos recursos computacionais (hardware e software), sem necessariamente 
depender de uma política de segurança mais completa. 
A resposta correta é 'Verdadeiro'. 
Questão 48 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Um tipo comum de uso prático de uma política de uso aceitável (PUA) é a 
definição de procedimentos para o uso correto e seguro do correio eletrônico. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Exemplos comuns de política de uso aceitável compreendem: uso seguro de 
correio eletrônico, uso correto do computador, uso seguro dos recursos de Internet 
e uso seguro do armazenamento corporativo. 
A resposta correta é 'Verdadeiro'. 
Questão 49 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
Um dos locais mais comuns para a publicação de uma PUA é a página web 
principal da organização. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
Uma PUA deve ser publicada de forma que todos da organização, e por vezes até 
entidades externas, tenham fácil acesso à política de uso aceitável. O recurso 
onde será publicado pode ser uma página Intranet ou até mesmo o site oficial da 
organização, que irá depender basicamente do público-alvo. 
A resposta correta é 'Verdadeiro'. 
Questão 50 
Correto 
Atingiu 1,00 de 1,00 
Marcar questão 
Texto da questão 
O fator de exposição (exposure factor – EF) não leva em consideração a 
porcentagem da perda em consequência de uma ameaça. 
Escolha uma opção: 
Verdadeiro 
Falso 
Feedback 
O fator de exposição é um dos aspectos utilizados nas métricas de controle de 
risco e utiliza exatamente a porcentagem da perda que uma ameaça específica 
pode causar a um ativo de informação. 
A resposta correta é 'Falso'.