QUESTIONÁRIO DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

<p>INSTITUTO DE EXEMPLO</p><p>TÍTULO DO DOCUMENTO: QUESTIONÁRIO DE SEGURANÇA DA INFORMAÇÃO</p><p>NOME DO AUTOR: [Nome do autor]</p><p>DATA: [Data da elaboração]</p><p>Pergunta 1</p><p>A ISO 27000 descreve a visão geral e o vocabulário de um Sistema de Gestão de Segurança da</p><p>Informação (SGSI), sendo referência em relação aos termos e definições utilizados para toda sua</p><p>família, como a ISO 27001, 27002 e 27005, por exemplo, assim como ocorre com outras normas,</p><p>como a ISO 9000. Em relação à ISO 27001, 27002 e 27005, analise as afirmativas a seguir e assinale V</p><p>para a(s) verdadeiras e F para a(s) falsas:</p><p>I. ( ) A ISO 27001 trata da implementação de um Sistema de Gestão de Segurança da Informação</p><p>(SGSI)</p><p>II. ( ) A ISO 27002 é uma referência para seleção de controles para implementação de um SGSI</p><p>III. ( ) A ISO 27005 é voltada para definição de diretrizes aplicadas à Gestão de Riscos da Segurança</p><p>da Informação</p><p>IV. ( ) A ISO 27002 trata da implementação de um Sistema de Gestão de Segurança da Informação</p><p>(SGSI)</p><p>V. ( ) A ISO 27001 é uma referência para seleção de controles para implementação de um SGSI</p><p>Assinale a alternativa que apresenta a sequência correta:</p><p>Resposta Selecionada:</p><p>Resposta Correta:</p><p>Comentário da resposta:</p><p>Incorreta: F, V, V, F, V</p><p>Correta: V, V, V, F, F</p><p>Sua resposta está incorreta. A alternativa está incorreta, pois as afirmativas I e II são verdadeiras,</p><p>logo as afirmativas IV e V são falsas, ou seja, a ISO 27001 trata da implementação de um SGSI e a</p><p>27002 é uma referência de controles. Em relação à afirmativa III, é verdadeiro que a 27005 é a norma</p><p>voltada para a Gestão de Riscos, abordando com mais profundidade a análise de riscos na área da</p><p>segurança da informação.</p><p>Pergunta 2</p><p>A Segurança da Informação envolve riscos aos dados, aos sistemas de informação e às redes, por</p><p>exemplo. A ISO 27001, seja na versão 2005 ou 2013, em seu Anexo A, sugere uma lista de controles</p><p>de segurança para proteger os ativos de informação de uma Organização.</p><p>ABNT- ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia da</p><p>informação — Técnicas de segurança — Sistemas de gestão de segurança da informação —</p><p>Requisitos. Rio de Janeiro, 2005.</p><p>Assinale a alternativa correta que apresenta o que são controles de segurança:</p><p>Resposta Selecionada:</p><p>Resposta Correta:</p><p>Comentário da resposta:</p><p>Correta: São medidas de segurança</p><p>Resposta está correta. A alternativa está correta, pois controles de segurança são medidas de</p><p>segurança que abrangem um conjunto de ações no âmbito da segurança da informação</p><p>organizacional que visam garantir a confidencialidade, integridade e disponibilidade dos ativos de</p><p>uma empresa, sejam estes um sistema, um computador, um servidor ou uma sala, por exemplo.</p><p>Pergunta 3</p><p>A Lei Geral de Proteção de Dados (LGPD) exige que as empresas tenham um profissional responsável</p><p>pela proteção de dados pessoais e o definiu como Encarregado. O Encarregado pode ser uma</p><p>pessoa física, funcionário da empresa, como o Oficial de Segurança, por exemplo, ou uma pessoa</p><p>jurídica.</p><p>BRASIL, Lei nº 13.853, de 8 de julho de 2019- Altera a Lei nº 13.709, de 14 de agosto de 2018, para</p><p>dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados.</p><p>Diário Oficial da União. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2019-</p><p>2022/2019/Lei/L13853.htm#art1. Acesso em: 27 Jan. 2020.</p><p>Assinale a alternativa correta que apresenta quais as atribuições do Encarregado definidas na LGPD:</p><p>Resposta Selecionada:</p><p>Resposta Correta:</p><p>Comentário da resposta:</p><p>Correta: Atuar como canal de comunicação entre o Controlador, os titulares dos dados e a</p><p>Autoridade Nacional de Proteção de Dados (ANPD)</p><p>Resposta está correta. A alternativa está correta, pois em seu artigo 5, a Lei define: "VIII -</p><p>encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação</p><p>entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)."</p><p>Portanto, o Oficial de Segurança pode exercer a função de Encarregado também.</p><p>Pergunta 4</p><p>A criptografia garante a confidencialidade, ou seja, somente um destinatário autorizado, detentor de</p><p>uma chave, pode ler o conteúdo de uma mensagem cifrada que lhe foi enviada. Isso impede que</p><p>invasores leiam seu conteúdo, caso consigam interceptar a mensagem em trânsito. A criptografia</p><p>simétrica implica no uso de uma chave única utilizada tanto para cifrar quanto para decifrar uma</p><p>mensagem.</p><p>Assinale a alternativa correta que apresenta qual o principal desafio deste tipo de criptografia na</p><p>troca de mensagens via internet entre um emissor e um receptor:</p><p>Resposta Selecionada:</p><p>Resposta Correta:</p><p>Comentário da resposta:</p><p>Correta: O envio da chave simétrica do emissor para o receptor da mensagem</p><p>Resposta está correta. A alternativa está correta, pois é preciso que o receptor saiba qual é a chave</p><p>correta para decifrar a mensagem que lhe foi enviada. Como o emissor pode informar ao receptor,</p><p>de uma forma segura, utilizando um meio público como a internet, qual é a chave necessária para</p><p>decifrar a mensagem enviada? Este é o desafio.</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>Pergunta 5</p><p>O acesso público à sala de servidores de uma determinada empresa pode gerar problemas de</p><p>disponibilidade, uma vez que qualquer pessoa, intencionalmente ou não, pode desligar</p><p>manualmente a energia de algum equipamento. Dependendo da relevância do ativo de tecnologia</p><p>envolvido, esta falha pode levar à parada de um determinado processo, causando prejuízos para a</p><p>empresa.</p><p>Para evitar este tipo de falha, assinale a alternativa correta que representa a técnica de segurança</p><p>correta para a segurança do perímetro:</p><p>Resposta Selecionada:</p><p>Resposta Correta:</p><p>Comentário da resposta:</p><p>Correta: Controle de Acesso Físico</p><p>Resposta está correta. A alternativa está correta, pois o controle de acesso físico pode impedir, ou</p><p>pelo menos dificultar, o acesso indevido de pessoas não autorizadas ao ambiente, evitando este tipo</p><p>de falha de disponibilidade. Além de controles de acesso, um ambiente também deve ser protegido</p><p>contra desastres naturais, como desabamentos, enchentes, incêndios, etc.</p><p>A ISO 27002 oferece uma gama de sugestões para implementação de controles que visam a</p><p>segurança da informação que se adequam a empresas de qualquer ramo de atividade ou tamanho,</p><p>sejam públicas ou privadas. Dentre as tantas sugeridas, uma se refere à política de Mesa Limpa e Tela</p><p>Limpa.</p><p>ABNT- ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO/IEC 27002:2013: Tecnologia da</p><p>informação — Técnicas de segurança — Código de prática para controles de segurança da</p><p>informação. Rio de Janeiro, 2013.</p><p>Assinale a alternativa correta que apresenta qual seu objetivo:</p><p>Resposta Selecionada:</p><p>Resposta Correta:</p><p>Comentário da resposta:</p><p>Correta: Não deixar dados sigilosos à vista, como senhas de acesso anotadas em papéis sobre a</p><p>mesa, em gavetas destrancadas, ou deixar a estação de trabalho desbloqueada.</p><p>Resposta está correta. A alternativa está correta, pois o usuário deve ser treinado para seguir as</p><p>regras de segurança</p><p>da informação da empresa. A senha nunca deve ser anotada em papéis.</p><p>Informações sigilosas devem ser guardadas em cofres ou gavetas com chave. Sempre que estiver</p><p>ausente, o funcionário deve bloquear sua estação de trabalho para impedir que outros possam obter</p><p>informações sigilosas ou que possam se passar por ele, utilizando seu perfil.</p><p>Pergunta 6</p><p>Um Sistema de Gestão de Segurança da Informação deve ser avaliado, corrigido e aperfeiçoado</p><p>sempre que necessário. Pessoas que realizam trabalho sob o controle da Organização executam suas</p><p>tarefas de acordo com a Política de Segurança da Informação (PSI) da Organização. Sobre o não</p><p>cumprimento desta PSI por parte destas pessoas e suas possíveis penalidades, assinale a alternativa</p><p>correta:</p><p>Resposta Selecionada:</p><p>Resposta Correta:</p><p>Comentário da resposta:</p><p>Correta: as penalidades impostas devem ser internas e não podem se sobrepor a leis superiores,</p><p>como as municipais, estaduais e federais.</p><p>Resposta está correta. A alternativa está correta, pois penalidades como suspensão ou até demissão</p><p>podem ser executadas em caso de descumprimento da PSI por parte de um colaborador. Contudo,</p><p>leis superiores, como a lei trabalhista, por exemplo, não podem ser superadas por normatizações</p><p>internas da Organização.</p><p>Pergunta 7</p><p>A Lei Geral de Proteção de Dados (LGPD) criou duas definições para as empresas que processam</p><p>dados pessoais, o controlador e o operador:</p><p>Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as</p><p>decisões referentes ao tratamento de dados pessoais;</p><p>Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de</p><p>dados pessoais em nome do controlador.</p><p>BRASIL, Lei nº 13.853, de 8 de julho de 2019- Altera a Lei nº 13.709, de 14 de agosto de 2018, para</p><p>dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados.</p><p>Diário Oficial da União. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2019-</p><p>2022/2019/Lei/L13853.htm#art1. Acesso em: 27 Jan. 2020.</p><p>Em relação às definições, assinale a alternativa que apresenta o conceito correto de controlador:</p><p>Resposta Selecionada:</p><p>Resposta Correta:</p><p>Comentário da resposta:</p><p>Correta: O controlador é quem decide como e por que os dados pessoais são tratados.</p><p>Resposta está correta. A alternativa está correta, pois o controlador é a entidade que possui a</p><p>decisão sobre os dados e, por conseguinte, define o tratamento a ser dado a eles. O operador</p><p>apenas executa o tratamento em nome do controlador.</p><p>Pergunta 8</p><p>O armazenamento de dados e informações em ambientes virtuais, como a nuvem, pode oferecer</p><p>diversas vantagens para as Organizações, como a redução de custos, escalabilidade e flexibilidade.</p><p>No entanto, também traz riscos e desafios para a segurança da informação, que incluem a proteção</p><p>da confidencialidade e integridade das informações.</p><p>Assinale a alternativa correta que apresenta um risco do armazenamento de dados em nuvem:</p><p>Resposta Selecionada:</p><p>Resposta Correta:</p><p>Comentário da resposta:</p><p>Correta: A possibilidade de acesso não autorizado aos dados armazenados.</p><p>Resposta está correta. A alternativa está correta, pois o armazenamento de dados em nuvem pode</p><p>acarretar problemas como vazamentos de informações, ataques cibernéticos, e possibilidade de</p><p>acesso não autorizado. A segurança da informação, portanto, deve ser considerada ao se armazenar</p><p>dados em ambientes virtuais, mesmo que ofereçam vantagens em termos de custo e flexibilidade.</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1</p><p>Pergunta 9</p><p>No contexto da segurança da informação, as ameaças e vulnerabilidades devem ser constantemente</p><p>monitoradas e avaliadas pelas Organizações. Para isso, um Plano de Continuidade de Negócios é um</p><p>conjunto de ações que visam garantir a continuidade das operações em situações adversas. Ele pode</p><p>incluir estratégias de recuperação de dados e manutenção dos serviços.</p><p>Assinale a alternativa correta que apresenta um objetivo do Plano de Continuidade de Negócios:</p><p>Resposta Selecionada:</p><p>Resposta Correta:</p><p>Comentário da resposta:</p><p>Correta: Garantir que a Organização consiga retomar suas atividades em caso de incidentes que</p><p>comprometam seus serviços.</p><p>Resposta está correta. A alternativa está correta, pois o Plano de Continuidade de Negócios tem</p><p>como principal objetivo garantir que a Organização retome suas atividades o mais rápido possível,</p><p>minimizando os impactos de incidentes que possam comprometer a continuidade dos serviços</p><p>prestados.</p><p>Pergunta 10</p><p>O uso de senhas é um dos métodos mais comuns para autenticar usuários em sistemas de</p><p>informação. Para garantir a segurança das senhas, as Organizações devem adotar práticas</p><p>adequadas na criação e armazenamento dessas informações.</p><p>Assinale a alternativa correta que apresenta uma boa prática na gestão de senhas:</p><p>Resposta Selecionada:</p><p>Resposta Correta:</p><p>Comentário da resposta:</p><p>Correta: As senhas devem ser complexas e alteradas periodicamente.</p><p>Resposta está correta. A alternativa está correta, pois senhas complexas e a troca regular delas</p><p>aumentam a segurança, dificultando o acesso não autorizado às informações da Organização. É</p><p>importante também que as senhas sejam armazenadas de forma segura, utilizando técnicas de</p><p>criptografia.</p><p>CONCLUSÃO:</p><p>O questionário foi desenvolvido para avaliar o conhecimento em segurança da informação,</p><p>abordando normas relevantes, práticas e conceitos fundamentais para proteger os ativos de</p><p>informação de uma Organização. O cumprimento das normas e diretrizes discutidas, assim como a</p><p>implementação de boas práticas, são essenciais para garantir a segurança e integridade das</p><p>informações e dados, prevenindo incidentes que possam comprometer a continuidade dos negócios</p><p>e a privacidade dos usuários.</p>