Baixe o app para aproveitar ainda mais
Prévia do material em texto
A criação de uma política de segurança também encontra respaldo em documentos abertos e oficiais, como a RFC 2196. Escolha uma opção: Verdadeiro Falso Feedback Conforme descrito no início do capítulo, página 1, e na RFC 2196, uma política de segurança encontra respaldo em documentos abertos e oficiais, sobretudo padrões abertos como as RFCs (Request for Comments). A resposta correta é 'Verdadeiro'. Questão 2 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão A política de segurança não é o documento mais importante na definição geral da segurança institucional, já que a implementação de firewalls e IDSs vêm em primeiro lugar. Escolha uma opção: Verdadeiro Falso Feedback Mesmo escrita em fases, a política de segurança é o elemento mais importante no projeto de segurança institucional, já que através dela são definidos os papéis de cada membro da organização no que tange à informação. A resposta correta é 'Falso'. Questão 3 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Uma das fases mais importantes na definição de uma política de segurança é a análise de riscos. Escolha uma opção: Verdadeiro Falso Feedback De fato, a análise de riscos subsidia com fatos muitas das questões importantes na definição da política de segurança. A resposta correta é 'Verdadeiro'. Questão 4 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Toda política de segurança deve seguir regras rígidas na hora de sua concepção e implementação. Escolha uma opção: Verdadeiro Falso Feedback Ainda que haja boas práticas, uma política de segurança não possui regras gerais, conforme descrito na página 2 do material. A resposta correta é 'Falso'. Questão 5 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão A criação de uma política de segurança é um procedimento que engloba vários profissionais e o nível de comprometimento da organização em sua criação. Escolha uma opção: Verdadeiro Falso Feedback De fato, várias áreas de diferentes conhecimentos, inclusive na área de TI, devem participar ativamente na construção de uma política de segurança, já que toda informação é um importante ativo. A resposta correta é 'Verdadeiro'. Questão 6 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Muitas das dificuldades de se implantar uma política de segurança encontram barreiras culturais, sobretudo dos usuários finais. Escolha uma opção: Verdadeiro Falso Feedback Várias das dificuldades encontradas em se criar e implantar uma política de segurança estão fundamentadas em mudanças culturais e organizacionais, conforme descrito no material didático. A resposta correta é 'Verdadeiro'. Questão 7 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Risco é todo perigo totalmente previsível e que sempre possui contramedidas. Escolha uma opção: Verdadeiro Falso Feedback Risco, conforme descrito no material didático, é uma situação de perigo cuja probabilidade pode ser calculada, mas não totalmente previsível, inclusive em termos de consequências. A resposta correta é 'Falso'. Questão 8 Incorreto Atingiu 0,00 de 1,00 Marcar questão Texto da questão Todo risco tem uma perda associada. Escolha uma opção: Verdadeiro Falso Feedback Nem todo risco pode ter uma perda associada, porque é probabilisticamente errado prever todos as consequências e perdas por conta dele. A resposta correta é 'Falso'. Questão 9 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão A análise de riscos visa sanar todos os riscos. Escolha uma opção: Verdadeiro Falso Feedback O objetivo da análise de riscos é identificar os riscos e calcular probabilidades de ocorrência, bem como suas possíveis perdas. A resposta correta é 'Falso'. Questão 10 Incorreto Atingiu 0,00 de 1,00 Marcar questão Texto da questão A definição do escopo da abrangência da política de segurança é uma das medidas da análise de riscos. Escolha uma opção: Verdadeiro Falso Feedback Conforme o livro-texto, definir o escopo da abrangência da política é uma das primeiras medidas a serem tomadas. A resposta correta é 'Verdadeiro'. Questão 11 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Definir os ativos de informação, bem como classificá-los quanto à sua importância, faz parte da análise de riscos. Escolha uma opção: Verdadeiro Falso Feedback Sem a devida classificação de ativos, a análise de riscos pode tornar-se obsoleta, porque não consegue-se valorá-los em termos de importância. A resposta correta é 'Verdadeiro'. Questão 12 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Não é papel da segurança da informação adotar quaisquer que sejam os controles, a fim de minimizar riscos. Escolha uma opção: Verdadeiro Falso Feedback Um dos papéis fundamentais da segurança da informação é adotar todo tipo de controle, seja ele físico, tecnológico ou de processos que envolvam pessoas no tratamento da informação. A resposta correta é 'Falso'. Questão 13 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Identificar e calcular o impacto de vulnerabilidades existentes são medidas a serem tomadas durante a análise de riscos. Escolha uma opção: Verdadeiro Falso Feedback Durante a análise de riscos, encontrar vulnerabilidades e definir o seu provável impacto é uma das fases mais importantes da análise de riscos, considerando as ameaças cibernéticas existentes. A resposta correta é 'Verdadeiro'. Questão 14 Incorreto Atingiu 0,00 de 1,00 Marcar questão Texto da questão Fazem parte de ativos de hardware: computadores pessoais, laptops, tablets, roteadores e switches de rede. Escolha uma opção: Verdadeiro Falso Feedback Ativos de hardware são todos aqueles utilizados como hardware computacional, incluindo roteadores e switches de rede. A resposta correta é 'Verdadeiro'. Questão 15 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Ativos de informação classificados como dados incluem backups, arquivos de log, bem como dados transmitidos em meios de comunicação como a internet. Escolha uma opção: Verdadeiro Falso Feedback Dados são informações a serem processadas ou já processadas que podem estar em trânsito (transmitidos via rede de computadores) ou armazenados em mídias de comunicação, como arquivos pessoais, logs e bancos de dados. A resposta correta é 'Verdadeiro'. Questão 16 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Nenhuma organização pode classificar pessoas como ativos de informação, já que não são processáveis em termos computacionais. Escolha uma opção: Verdadeiro Falso Feedback Pessoas estão dentro do rol de ativos de informação porque qualquer ativo que manipule informações – direta ou indiretamente – é classificado como ativo de informação, inclusive ela mesma. A resposta correta é 'Falso'. Questão 17 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Documentos em forma de papel que contenham informações pessoais são considerados ativos de informação. Escolha uma opção: Verdadeiro Falso Feedback Quaisquer mídias que contenham informações são consideradas ativo de informação, e podem estar sujeitas a perdas e danos como quaisquer outros dados em mídias eletrônicas. A resposta correta é 'Verdadeiro'. Questão 18 Incorreto Atingiu 0,00 de 1,00 Marcar questão Texto da questão Os dados de uma instituição podem estar armazenados em vários tipos de ativos de informação, sejam eles em trânsito ou não. Escolha uma opção: Verdadeiro Falso Feedback Ativos de informação guardam ou processam dados que estejam armazenados fisicamente em mídias, bem como em trânsito, como é o caso dos ativos de rede responsáveis por transmitir dados de uma origempara um destino. A resposta correta é 'Verdadeiro'. Questão 19 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão A classificação de dados não tem relação com sua criticidade em termos de sigilo. Escolha uma opção: Verdadeiro Falso Feedback Dados de uma forma geral precisam ser classificados de acordo com o sigilo. Certos tipos de dados podem ser públicos; outros, privados, sigilosos. Dados financeiros, por exemplo, são em geral dados de cunho sigilosos. A resposta correta é 'Falso'. Questão 20 Incorreto Atingiu 0,00 de 1,00 Marcar questão Texto da questão Dados de salários de empregados – como por exemplo, dados financeiros – podem ter valoração alta e criticidade média. Escolha uma opção: Verdadeiro Falso Feedback Dados financeiros, como os salários – conforme página 4 do material oficial –, são em geral valorados como alto e de criticidade média. Essas atribuições podem variar de lugar para lugar de acordo com a criticidade de cada ativo de informação. A resposta correta é 'Verdadeiro'. Questão 21 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Em relação às vulnerabilidades de um sistema, em geral não é preciso conhecê- las, já que estas podem ser comunicadas por terceiros. Escolha uma opção: Verdadeiro Falso Feedback É crucial para um ambiente de TI conhecer as vulnerabilidades existentes como parte do processo de análise de riscos de TI de uma organização. Conhecê-las através de terceiros pode significar que elas já tenham sido exploradas sem o conhecimento da organização. A resposta correta é 'Falso'. Questão 22 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão A falta de conscientização dos usuários acerca do cenário atual de segurança é uma das mais graves vulnerabilidades existentes. Escolha uma opção: Verdadeiro Falso Feedback De acordo com o material didático, de fato a falta de conscientização põe em risco toda uma organização, mesmo que ela tenha os mais sofisticados mecanismos de segurança existentes. A resposta correta é 'Verdadeiro'. Questão 23 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Um Sistema Operacional desatualizado não chega a ser uma vulnerabilidade, porque os atacantes precisam ter acesso físico aos computadores pessoais. Escolha uma opção: Verdadeiro Falso Feedback Sistemas em geral desatualizados são um grande risco, pois criam uma superfície de ataque muito grande para os atacantes. Atacantes não precisam ter acesso físico aos computadores-alvo de uma forma geral, já que muitas vulnerabilidades existentes permitem a execução remota de códigos maliciosos. A resposta correta é 'Falso'. Questão 24 Incorreto Atingiu 0,00 de 1,00 Marcar questão Texto da questão Em um centro de dados, o cabeamento elétrico mal instalado (como exemplo) não pode ser considerado uma vulnerabilidade. Escolha uma opção: Verdadeiro Falso Feedback Em qualquer ambiente de TI, o cabeamento elétrico que não foi adequadamente instalado é uma grave vulnerabilidade, já que desastres como curto-circuitos, incêndios e apagões podem não só danificar as informações, como deixá-las indisponíveis. A resposta correta é 'Verdadeiro'. Questão 25 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Curto-circuitos são um exemplo de ameaça que pode deixar as informações completamente indisponíveis. Escolha uma opção: Verdadeiro Falso Feedback Enquanto o cabeamento mal instalado é uma vulnerabilidade, o curto-circuito é a ameaça relacionada com essa vulnerabilidade. As consequências de um curto- circuito pode tomar proporções inesperadas. A resposta correta é 'Verdadeiro'. Questão 26 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Phishing Scam e ataques de negação de serviço distribuídos (DDoS) são exemplos de ameaças. Escolha uma opção: Verdadeiro Falso Feedback Ataques DDoS e de phishing scam – embora relativamente antigos – ainda prevalecem no cenário mundial de segurança cibernética. A resposta correta é 'Verdadeiro'. Questão 27 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão A análise de risco não é uma avaliação sistemática do impacto dos negócios, e sim apenas probabilística. Escolha uma opção: Verdadeiro Falso Feedback Embora o fator probabilidade seja levado em conta em uma análise de riscos, a avaliação sistemática de todas as ameaças, vulnerabilidades, impacto e probabilidade é de fundamental importância em qualquer processo mais amplo de análise de riscos. A resposta correta é 'Falso'. Questão 28 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão A automação de processos em análise de riscos é uma forma eficiente de se medir com mais precisão e rapidez as relações de impacto e probabilidade. Escolha uma opção: Verdadeiro Falso Feedback Há ferramentas que automatizam o processo de análise de riscos de forma a representar as informações obtidas com maior legibilidade, inclusive em termos técnicos. A resposta correta é 'Verdadeiro'. Questão 29 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão De acordo com a norma ISO/IEC 27001, a análise de riscos não prevê a quantificação da correlação de ameaças e a probabilidade de elas ocorrerem. Escolha uma opção: Verdadeiro Falso Feedback Umas das premissas da norma ISO/IEC 27001 é exatamente a determinação da probabilidade de uma ameaça ocorrer frente a uma ou mais vulnerabilidades. A resposta correta é 'Falso'. Questão 30 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão O risco pode ser representado de forma genérica pela seguinte relação: ameaça x vulnerabilidade x probabilidade x impacto. Escolha uma opção: Verdadeiro Falso Feedback De acordo com a página 5 do material didático, o risco pode ser representado pelo valor x criticidade x vulnerabilidade x ameaça. A resposta correta é 'Verdadeiro'. Questão 31 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão No cálculo do risco, a ameaça não assume nenhum papel predominante, sobretudo quando há uma ameaça real. Escolha uma opção: Verdadeiro Falso Feedback A ameaça assume papel fundamental, porque a probabilidade de que ela ocorra é levada em consideração no cálculo do risco. A resposta correta é 'Falso'. Questão 32 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Todo impacto pode ser mitigável. Escolha uma opção: Verdadeiro Falso Feedback Não necessariamente, já que para determinados tipos de impacto, "a aceitação do risco" pondera se um plano de contingência pode ser utilizado ou não, ou ainda se ele será aceitável sem ressalvas. É possível conviver com um provável baixo impacto ao ambiente de TI. A resposta correta é 'Falso'. Questão 33 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Terceirizar o impacto é hoje a melhor forma de se lidar com os riscos. Escolha uma opção: Verdadeiro Falso Feedback A melhor forma depende de cada ambiente, e não é possível generalizar tais conceitos. Terceirizar o impacto não significa mitigá-lo, significa transferir a terceiros a responsabilidade pelos seus planos de ação. A resposta correta é 'Falso'. Questão 34 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Mitigar o impacto de um risco é reduzir a probabilidade de ocorrência dele. Escolha uma opção: Verdadeiro Falso Feedback De acordo com o material didático, mitigar é ao menos diminuir a probabilidade de que ele ocorra. Um plano de contenção quase sempre faz parte dos planos de mitigação de riscos. A resposta correta é 'Verdadeiro'. Questão 35 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Dos atores a serem envolvidos na construção de uma política de segurança da informação, o corpo técnico especializado é oque possui menor peso em termos de conhecimento. Escolha uma opção: Verdadeiro Falso Feedback O corpo técnico especializado deve ser consultado desde a fase inicial da construção de uma política, já que muitos dos problemas de segurança hoje estão na esfera essencialmente técnica. Todos da organização, são, em geral, importantes na construção da política. A resposta correta é 'Falso'. Questão 36 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Das recomendações básicas, a integração com outras partes da organização ou até mesmo outras políticas não é levada em consideração. Escolha uma opção: Verdadeiro Falso Feedback A integração é muito importante na construção da política de segurança da informação, porque toda informação deve ser levada em conta (como ativo essencial). A resposta correta é 'Falso'. Questão 37 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Uma política de segurança deve ser reforçada por procedimentos de segurança no sentido de ter ela implementada. Escolha uma opção: Verdadeiro Falso Feedback Uma política de segurança escrita e aprovada sem ter mecanismos que façam ela funcionar não possui efetividade. A resposta correta é 'Verdadeiro'. Questão 38 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão O comprometimento da alta direção em uma política de segurança não possui efeitos práticos. Escolha uma opção: Verdadeiro Falso Feedback A alta direção tem papel fundamental na implantação da política, porque dita as diretrizes de como devem ser seguidos todos os procedimentos de segurança por toda a organização. A resposta correta é 'Falso'. Questão 39 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão A educação de segurança é um dos itens que devem ser previstos em uma política de segurança. Escolha uma opção: Verdadeiro Falso Feedback Além de educar os usuários acerca da temática de segurança, ações de educação também servem para divulgar amplamente o propósito e os tópicos da política de segurança em âmbito corporativo. A resposta correta é 'Verdadeiro'. Questão 40 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão A ISO 27002 é um código de boas práticas e prevê políticas de segurança em seus capítulos. Escolha uma opção: Verdadeiro Falso Feedback A ISO 27002 é um conjunto de boas práticas internacional que, dentro de seus vários capítulos, especifica e explora em um deles mais claramente o tópico políticas de segurança. A resposta correta é 'Verdadeiro'. Questão 41 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Entre os normativos da NBSO, a questão de política de senhas não é prevista, e deve ficar a cargo dos administradores de sistemas defini-la. Escolha uma opção: Verdadeiro Falso Feedback Dentro dos normativos do NIC BR Security Office (NBSO), a política de senhas tem papel de destaque, e não deve ficar necessariamente a cargo dos administradores de sistemas. Pelo contrário, deve inclusive constar da política de segurança como um item global. A resposta correta é 'Falso'. Questão 42 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Considerando política de senhas, não faz parte do escopo a validade das senhas e a reutilização delas. Escolha uma opção: Verdadeiro Falso Feedback Tanto a validade das senhas como os requisitos de reutilização devem estar previstos na política de senhas, mesmo que em formas mais básicas. Reutilizar a mesma senha após o período de validade dela é um quesito contraditório, já que pressupõe-se que o usuário deve escolher "uma nova senha". A resposta correta é 'Verdadeiro'. Questão 43 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Entre os direitos e responsabilidades dos usuários, o uso aceitável de recursos está entre eles. Escolha uma opção: Verdadeiro Falso Feedback O usuário deverá ter direitos e responsabilidades no uso de recursos como hardware, e-mail, entre outros. Esses direitos e responsabilidades devem estar previstos na política de segurança. A resposta correta é 'Verdadeiro'. Questão 44 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Segundo diretrizes do CERT.BR, uma política deve ser ampla e contemplar todos os aspectos de segurança computacional. Escolha uma opção: Verdadeiro Falso Feedback Por mais que uma política deva ser simples no sentido de não ser excessivamente extensa, ela de fato deve permear praticamente todos os aspectos de segurança computacional e de informações. A resposta correta é 'Verdadeiro'. Questão 45 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão A atualização da política não é um fator preponderante, considerando que ela deva ser um documento estático. Escolha uma opção: Verdadeiro Falso Feedback Toda política de segurança deve ser atualizada periodicamente, considerando que novas tecnologias, novos procedimentos, novas vulnerabilidades e novos ataques surgem constantemente. A resposta correta é 'Falso'. Questão 46 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Quando a política de segurança já está publicada e implementada, não é necessário haver um grupo que verifique a conformidade dela. Escolha uma opção: Verdadeiro Falso Feedback Na prática, a verificação de conformidade (compliance) também é uma fase importante do ciclo de uma política de segurança. A "compliance" de uma política acaba sendo importante, porque gera subsídios para uma possível atualização na política, e também pode ser utilizada para possíveis punições em casos de descumprimento. A resposta correta é 'Falso'. Questão 47 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Uma política de uso aceitável (PUA) é um subconjunto da política e pode ser criada para abranger aspectos mais diretos, como o uso do e-mail corporativo. Escolha uma opção: Verdadeiro Falso Feedback A PUA pode ser utilizada para abranger de fato aspectos mais práticos e diretos do uso dos recursos computacionais (hardware e software), sem necessariamente depender de uma política de segurança mais completa. A resposta correta é 'Verdadeiro'. Questão 48 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Um tipo comum de uso prático de uma política de uso aceitável (PUA) é a definição de procedimentos para o uso correto e seguro do correio eletrônico. Escolha uma opção: Verdadeiro Falso Feedback Exemplos comuns de política de uso aceitável compreendem: uso seguro de correio eletrônico, uso correto do computador, uso seguro dos recursos de Internet e uso seguro do armazenamento corporativo. A resposta correta é 'Verdadeiro'. Questão 49 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Um dos locais mais comuns para a publicação de uma PUA é a página web principal da organização. Escolha uma opção: Verdadeiro Falso Feedback Uma PUA deve ser publicada de forma que todos da organização, e por vezes até entidades externas, tenham fácil acesso à política de uso aceitável. O recurso onde será publicado pode ser uma página Intranet ou até mesmo o site oficial da organização, que irá depender basicamente do público-alvo. A resposta correta é 'Verdadeiro'. Questão 50 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão O fator de exposição (exposure factor – EF) não leva em consideração a porcentagem da perda em consequência de uma ameaça. Escolha uma opção: Verdadeiro Falso Feedback O fator de exposição é um dos aspectos utilizados nas métricas de controle de risco e utiliza exatamente a porcentagem da perda que uma ameaça específica pode causar a um ativo de informação. A resposta correta é 'Falso'.
Compartilhar