01GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO - ATIVIDADES - AMB Fácil - Educação

Prévia do material em texto

Pergunta 1
0 em 1 pontos
 
 A ISO 27000 descreve a visão geral e o vocabulário de um sistema de Gestão de
Segurança da Informação (SGSI), sendo referência em relação aos termos e definições
utilizados para toda sua família, como a ISO 27001, 27002 e 27005, por exemplo, assim
como ocorre com outras normas, como a ISO 9000.
 
Em relação à ISO 27001, 27002 e 27005, analise as afirmativas a seguir e assinale V para
a(s) verdadeiras e F para a(s) falsas:
 
I. ( ) A ISO 27001 trata da implementação de um Sistema de Gestão de Segurança da
Informação (SGSI)
II. ( ) A ISO 27002 é uma referência para seleção de controles para implementação de um
SGSI
III. ( ) A ISO 27005 é voltada para definição de diretrizes aplicadas a Gestão de Riscos da
Segurança da Informação
IV. ( ) A ISO 27002 trata da implementação de um Sistema de Gestão de Segurança da
Informação (SGSI)
V. ( ) A ISO 27001 é uma referência para seleção de controles para implementação de um
SGSI
 
Assinale a alternativa que apresenta a sequência correta:
 
Resposta Selecionada: Incorreta 
F, V, V, F, V
 
 
 
Resposta Correta: Correta 
V, V, V, F, F
Comentário
da resposta:
Sua resposta está incorreta. A alternativa está incorreta, pois as afirmativas I
e II são verdadeiras, logo as afirmativas IV e V são falsas, ou seja, a ISO
27001 trata da implementação de um SGSI e a 27002 é uma referência de
controles. Em relação a afirmativa III, é verdadeiro que a 27005 é a norma
voltada para a Gestão de Riscos, abordando com mais profundidade a
análise de riscos na área da segurança da informação.
 
Pergunta 2
1 em 1 pontos
 
 A Segurança da Informação envolve riscos aos dados, aos sistemas de informação e às
redes, por exemplo. A ISO 27001, seja na versão 2005 ou 2013, em seu Anexo A, sugere
uma lista de controles de segurança para proteger os ativos de informação de uma
Organização.
 
ABNT- ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001 :
Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança
da informação — Requisitos. Rio de Janeiro, 2005.
 
Assinale a alternativa correta que apresenta o que são controles de segurança:
Resposta Selecionada: Correta 
São medidas de segurança
Resposta Correta: Correta 
São medidas de segurança
Comentário
da resposta:
Resposta está correta. A alternativa está correta, pois controles de segurança
são medidas de segurança que abrangem um conjunto de ações no âmbito
da segurança da informação organizacional que visam garantir a
confidencialidade, integridade e disponibilidade dos ativos de uma empresa,
sejam estes um sistema, um computador, um servidor ou uma sala, por
exemplo.
 
Pergunta 3
1 em 1 pontos
 
 A Lei Geral de Proteção de Dados (LGPD) exige que as empresas tenham um profissional
responsável pela proteção de dados pessoais e o definiu como Encarregado. O
Encarregado pode ser uma pessoa física, funcionário da empresa, como o Oficial de
Segurança, por exemplo, ou uma pessoa jurídica.
 
BRASIL, Lei nº 13.853, de 8 de julho de 2019- Altera a Lei nº 13.709, de 14 de agosto de
2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional
de Proteção de Dados. Diário Oficial da união. Disponível em:
< http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1>. Acesso
em: 27 Jan. 2020.
 
Assinale a alternativa correta que apresenta quais as atribuições do Encarregado definidas
na LGPD:
 
Resposta
Selecionada:
Correta 
Atuar como canal de comunicação entre o Controlador, os titulares dos
dados e a Autoridade Nacional de Proteção de Dados (ANPD)
Resposta
Correta:
Correta 
Atuar como canal de comunicação entre o Controlador, os titulares dos
dados e a Autoridade Nacional de Proteção de Dados (ANPD)
Comentário
da resposta:
Resposta está correta. A alternativa está correta, pois em seu artigo 5, a Lei
define: "VIII - encarregado: pessoa indicada pelo controlador e operador para
atuar como canal de comunicação entre o controlador, os titulares dos dados
e a Autoridade Nacional de Proteção de Dados (ANPD)." Portanto, o Oficial de
Segurança pode exercer a função de Encarregado também.
BRASIL, Lei nº 13.853, de 8 de julho de 2019- Altera a Lei nº 13.709, de 14 de
agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar
a Autoridade Nacional de Proteção de Dados. Diário Oficial da
união. Disponível em: < http://www.planalto.gov.br/ccivil_03/_Ato2019-
2022/2019/Lei/L13853.htm#art1>. Acesso em: 27 Jan. 2020.
 
Pergunta 4
1 em 1 pontos
 
 A criptografia garante a confidencialidade, ou seja, somente um destinatário autorizado,
detentor de uma chave, pode ler o conteúdo de uma mensagem cifrada que lhe foi
enviada. Isso impede que invasores leiam seu conteúdo, caso consigam interceptar a
mensagem em trânsito. A criptografia simétrica implica no uso de uma chave única
utilizada tanto para cifrar quanto para decifrar uma mensagem.
 
Assinale a alternativa correta que apresenta qual o principal desafio deste tipo de
criptografia na troca de mensagens via internet entre um emissor e um receptor:
Resposta
Selecionada:
Correta 
O envio da chave simétrica do emissor para o receptor da
mensagem
Resposta Correta: Correta 
O envio da chave simétrica do emissor para o receptor da
mensagem
Comentário
da resposta:
Resposta está correta. A alternativa está correta, pois é preciso que o
receptor saiba qual é a chave correta para decifrar a mensagem que lhe foi
enviada. Como o emissor pode informar ao receptor, de uma forma segura,
utilizando um meio público como a internet, qual é a chave necessária para
decifrar a mensagem enviada? Este é o desafio.
 
Pergunta 5
1 em 1 pontos
 
 O acesso público à sala de servidores de uma determinada empresa pode gerar
problemas de disponibilidade, uma vez que qualquer pessoa, intencionalmente ou não,
pode desligar manualmente a energia de algum equipamento. Dependendendo da
relevância do ativo de tecnologia envolvido, esta falha pode levar à parada de um
determinado processo, causando prejuízos para a empresa.
 
Para evitar este tipo de falha, assinale a alternativa correta que representa a técnica de
segurança correta para a segurança do perímetro.
Resposta Selecionada: Correta 
Controle de Acesso Físico
http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1
http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1
http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1
Resposta Correta: Correta 
Controle de Acesso Físico
Comentário
da resposta:
Resposta está correta. A alternativa está correta, pois o controle de acesso
físico pode impedir, ou pelo menos dificultar, o acesso indevido de pessoas
não autorizadas ao ambiente, evitando este tipo de falha de disponibilidade.
Além de controles de acesso, um ambiente também deve ser protegido
contra desastres naturais, como desabamentos, enchentes, incêndios, etc.
 
Pergunta 6
1 em 1 pontos
 
 A ISO 27002 oferece uma gama de sugestões para implementação de controles que visam
a segurança da informação que se adequam à empresas de qualquer ramo de atividade ou
tamanho, sejam públicas ou privadas Dentre as tantas sugeridas, uma se refere a política
de Mesa Limpa e Tela Limpa.
 
ABNT- ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO/IEC 27002:2013 :
Tecnologia da informação — Técnicas de segurança — Código de prática para controles
de segurança da informação. Rio de Janeiro, 2013.
 
Assinale a alternativa correta que apresenta qual seu objetivo:
 
Resposta
Selecionada:
Correta 
Não deixar dados sigilosos a vista, como senhas de acesso anotadas em
papéis sobre a mesa, em gavetas destrancadas, ou deixar a estação de
trabalho desbloqueada.
Resposta
Correta:
Correta 
Não deixar dados sigilosos a vista, como senhas de acesso anotadas em
papéis sobre a mesa, em gavetas destrancadas, ou deixar a estação de
trabalho desbloqueada.
Comentário
da resposta:
Resposta está correta. A alternativa está correta, pois o usuário deve ser
treinado para seguir as regras desegurança da informação da empresa. A
senha nunca deve ser anotada em papéis. Informações sigilosas devem ser
guardadas em cofres ou gavetas com chave. Sempre que estiver ausente, o
funcionário deve bloquear sua estação de trabalho para impedir que outros
possam obter informações sigilosas, ou que possam se passar por ele,
utilizando seu perfil.
 
Pergunta 7
1 em 1 pontos
 
 Um Sistema de Gestão de Segurança da Informação deve ser avaliado, corrigido e
aperfeiçoado sempre que necessário. Pessoas que realizam trabalho sob o controle da
Organização executam suas tarefas de acordo com a Política de Segurança da Informação
(PSI) da Organização.
 
Sobre o não cumprimento desta PSI por parte destas pessoas e suas possíveis
penalidades, assinale a alternativa correta:
Resposta
Selecionada:
Correta 
as penalidades impostas devem ser internas e não podem se sobrepor à
leis superiores, como as municipais, estaduais e federais
Resposta
Correta:
Correta 
as penalidades impostas devem ser internas e não podem se sobrepor à
leis superiores, como as municipais, estaduais e federais
Comentário
da resposta:
Resposta está correta. A alternativa está correta, pois penalidades como
suspensão ou até demissão podem ser executadas em caso de
descumprimento da PSI por parte de um colaborador. Contudo, leis
superiores, como a lei trabalhista, por exemplo, não podem ser superadas
por normatizações internas da Organização.
 
Pergunta 8
1 em 1 pontos
 
 A Lei Geral de Proteção de Dados (LGPD) criou duas definições para as empresas que
processam dados pessoais, o controlador e o operador:
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as
decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador;
 
Quando houver um vazamento de dados no Operador e o Controlador tiver parcela de
responsabilidade neste incidente de segurança, assinale a alternativa correta que
apresenta quem deverá ser responsabilizado para reparar os danos causados aos titulares
dos dados:
Resposta Selecionada: Correta 
Operador e Controlador
Resposta Correta: Correta 
Operador e Controlador
Comentário
da resposta:
Resposta está correta. A alternativa está correta, pois ambos, Controlador e
Operador, serão responsáveis por reparar os danos causados aos titulares
do dados. Conforme menciona o artigo 42 da LGPD, os controladores que
estiverem envolvidos em tratamentos em que ocorreram danos ao titular dos
dados irão responder solidariamente.
 
Pergunta 9
1 em 1 pontos
 
 Risco é a probabilidade de que ameaças explorem vulnerabilidades nos ativos, causando
impacto ao negócio de uma Organização. Quanto maior o valor do ativo em termos de
relevância para a correta execução dos processos internos, maior o impacto causado pela
materialização do risco caso ocorram incidentes de segurança.
 
Assinale a alternativa correta em relação a periodicidade de uma análise de riscos em uma
organização, segundo a ISO 27001, seja na versão 2005 ou 2013.
Resposta
Selecionada:
Correta 
Deve ser cíclico, porém sem uma periodicidade predeterminada pela
ISO 27001.
Resposta Correta: Correta 
Deve ser cíclico, porém sem uma periodicidade predeterminada pela
ISO 27001.
Comentário
da resposta:
Resposta está correta. A alternativa está correta, pois é correto que o
processo de avaliação de riscos deve ser cíclico, porém, sua periodicidade
não é determinada pela ISO 27001. Ou seja, pode variar de empresa para
empresa e pode ser regido com a periodicidade estipulada no Sistema de
Gestão de Segurança da Informação (SGSI) próprio de cada Organização,
mas também sempre que houver uma mudança considerada crítica nos seus
ativos de informação.
ABNT- ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC
27001: Tecnologia da informação — Técnicas de segurança — Sistemas de
gestão de segurança da informação — Requisitos. Rio de Janeiro, 2005.
 
Pergunta 10
1 em 1 pontos
 
 VPN (virtual private network) é uma rede virtual que consiste em interligar duas redes
privadas ou uma estação de trabalho e uma rede privada. Em ambos os casos, a
comunicação é feita através da internet. Como a internet é um meio público compartilhado,
segurança e desempenho devem ser avaliados.
 
Diante do exposto, assinale a alternativa correta:
Resposta
Selecionada:
Correta 
Todos os pacotes de dados trafegados na VPN são criptografados por
motivos de segurança, uma vez que utilizam um meio público, com a
internet, para comunicação
Resposta
Correta:
Correta 
Todos os pacotes de dados trafegados na VPN são criptografados por
motivos de segurança, uma vez que utilizam um meio público, com a
internet, para comunicação
Comentário
da resposta:
Resposta está correta. A alternativa está correta, pois como a internet é um
meio público, todas as informações trafegadas pela comunicação entre os
dois pontos da VPN podem ser interceptadas e roubadas por um invasor. A
criptografia garante que, mesmo que informações sejam roubadas durante a
comunicação, não serão compreendidas pelo invasor.
 0
Lear
Expert
Usuários
 39
40 posts
Postado April 10, 2021
Pergunta 1
0 em 1 pontos
 
 Além de Infraestrutura como Serviço (IaaS), há também o modelo chamado Software como
Serviço (SaaS) e Plataforma como Serviço (PaaS). Neste tipo de modelo, o PaaS, o cliente
não controla os recursos de infraestrutura da nuvem, mas controla suas próprias
aplicações.
 
Nesse sentido, assinale a alternativa que exemplifica o uso do modelo SaaS.
Resposta Selecionada: Incorreta 
O cliente pode criar sua própria aplicação (na nuvem).
Resposta Correta: Correta 
O cliente utiliza uma aplicação proprietária (na nuvem).
Comentário
da resposta:
Sua resposta está incorreta. A alternativa está incorreta, pois, no modelo
SaaS, o cliente apenas utiliza a aplicação disponibilizada na nuvem e não
tem controle algum sobre os recursos desta máquina, ou conjunto de
máquinas, como alterar sua capacidade de armazenamento, da rede, do tipo
de antivírus etc.
 
Pergunta 2
1 em 1 pontos
 
 Utilizada principalmente para garantir a confidencialidade de uma mensagem trocada entre
um emissor e um receptor, a criptografia utiliza codificação para proteger o conteúdo da
informação. Seja por meio de um par de chaves ou de chave única, a criptografia envolve
o processo de cifragem no emissor e, no receptor, o processo de decifragem.
 
Em relação à criptografia de chave única, assinale a alternativa que corresponde a sua
principal fragilidade.
Resposta Selecionada: Correta 
A troca de chaves entre emissor e receptor.
Resposta Correta: Correta 
A troca de chaves entre emissor e receptor.
Comentário
da resposta:
Resposta correta. A alternativa está correta. Uma vez que a mesma chave é
utilizada tanto para cifrar quanto para decifrar uma mensagem, o receptor
deve receber a chave privada mediante um meio seguro, ou toda segurança
para garantir a confidencialidade da mensagem estará comprometida, se a
mensagem for interceptada por um intruso.
 
Pergunta 3
1 em 1 pontos
 
 A computação em nuvem permite que recursos computacionais como servidores,
aplicações e espaço de armazenamento sejam criados sob demanda, com agilidade, em
um local público ou privado. Um dos modelos de computação em nuvem é o IaaS, ou
Infraestrutura como Serviço.
 
Nesse sentido, assinale a alternativa que corresponde a esse modelo.
Resposta Selecionada: Correta 
O cliente tem total controle sobre computadores e suas aplicações.
Resposta Correta: Correta 
O cliente tem total controle sobre computadores e suas aplicações.
Comentário da
resposta:
Resposta correta. A alternativa está correta, pois o controle sobre o recurso
é disponibilizado, permitindo que o cliente instale um sistema operacional e
controle as aplicações que serão instaladas, como escolher o software
antivírus que desejar, por exemplo.
https://www.ambfacil.com.br/index.php?/topic/1146-gest%C3%A3o-de-riscos-em-seguran%C3%A7a-da-informa%C3%A7%C3%A3o/&do=showRepComment&comment=2734https://www.ambfacil.com.br/index.php?/profile/2395-lear/
https://www.ambfacil.com.br/index.php?/profile/2395-lear/reputation/
https://www.ambfacil.com.br/index.php?/profile/2395-lear/
https://www.ambfacil.com.br/index.php?/topic/1146-gest%C3%A3o-de-riscos-em-seguran%C3%A7a-da-informa%C3%A7%C3%A3o/&do=findComment&comment=2735
https://www.ambfacil.com.br/index.php?/topic/1146-gest%C3%A3o-de-riscos-em-seguran%C3%A7a-da-informa%C3%A7%C3%A3o/&do=findComment&comment=2735
https://www.ambfacil.com.br/index.php?/topic/1146-gest%C3%A3o-de-riscos-em-seguran%C3%A7a-da-informa%C3%A7%C3%A3o/&do=findComment&comment=2735
 
Pergunta 4
1 em 1 pontos
 
 Dispositivos móveis, como os smartphones, estão cada vez mais inseridos nos processos
internos das empresas, seja executando uma aplicação ou lendo um e-mail corporativo,
por exemplo. Esse novo conceito pode trazer alguns benefícios, entre eles, o aumento de
produtividade e redução de custos para a empresa, uma vez que o funcionário utiliza seu
próprio equipamento. Contudo, o risco de um incidente de segurança pode aumentar.
 
Nesse sentido, assinale a alternativa que justifica o aumento desse risco.
Resposta
Selecionada:
Correta 
Perda do equipamento contendo informações confidenciais da
empresa.
 
Resposta Correta: Correta 
Perda do equipamento contendo informações confidenciais da
empresa.
 
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois, uma vez que o usuário
carrega informações da empresa em seu aparelho, se este for roubado ou
perdido, informações confidenciais da empresa podem estar em risco. O
correto é que a Política de Segurança da Informação da empresa aborde e
cite normas para esse tipo de uso.
 
Pergunta 5
1 em 1 pontos
 
 Uma informação pode ser acessada de diversas maneiras, seja por meio de um sistema
que acessa um banco de dados ou por meio da leitura de um texto impresso, por exemplo.
Uma das políticas de segurança da informação sugeridas pela ISO 27002 é a política de
Mesa Limpa e Tela Limpa.
 
Nesse sentido, assinale a alternativa que indica o objetivo dessa política.
Resposta Selecionada: Correta 
Instruir os colaboradores quanto à proteção das informações.
Resposta Correta: Correta 
Instruir os colaboradores quanto à proteção das informações.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois informações confidenciais
anotadas em papéis ou bilhetes sobre a mesa, por exemplo, podem conter
informações confidenciais que não deveriam ser expostas para qualquer
pessoa. Além disso, manter o computador desbloqueado quando se está
ausente permite que qualquer pessoa utilize o equipamento em nome do
colaborador ou, ainda, que pessoas não autorizadas visualizem informações
que não deveriam ser divulgadas sem autorização.
 
Pergunta 6
1 em 1 pontos
 
 Uma das maneiras de uma empresa demonstrar que se preocupa com a segurança das
informações que processa é obter uma certificação. Assim como a ISO 9001 certifica uma
empresa na área de gestão da qualidade, também existe um framework para a área de
segurança da informação.
 
Nesse sentido, assinale a alternativa que apresenta qual é norma que certifica uma
empresa nesta área.
Resposta Selecionada: Correta 
ISO 27001
Resposta Correta: Correta 
ISO 27001
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois a ISO 27001 é a norma
que implementa o Sistema de Gestão de Segurança da Informação (SGSI),
além dos 114 controles sugeridos na ISO 27002. A conformidade com esta
norma é aferida por auditores credenciados que podem certificar a empresa.