Segurança da Iinformação - Questionário Unidade I (2018/1)

Prévia do material em texto

 Pergunta 1 
0,25 em 0,25 pontos 
 
A implantação de mecanismos de proteção é importante para segurança da 
informação diante das ameaças que estão a nossa volta. A melhor definição para 
ameaça é: 
I - Evento que tem potencial para causar prejuízos aos ativos de informação da 
organização, trazendo danos diretos como roubos ou prejuízos em situações 
inesperadas como incêndio. 
II - Refere-se ao tamanho do prejuízo, que pode ser medido por meio de propriedades 
mensuráveis ou abstratas, que uma determinada ameaça causará. 
III - Medida que indica a probabilidade de exploração de uma vulnerabilidade. 
 
Resposta Selecionada: a. Apenas a afirmativa I está correta. 
 
Respostas: a. 
Apenas a afirmativa I está correta. 
 
b. 
Apenas a afirmativa II está correta. 
 
c. 
Apenas a afirmativa III está correta 
 
d. 
I e III estão corretas. 
 
e. 
II e III estão corretas. 
 
Feedback da 
resposta: 
Resposta: A 
Comentário: a ameaça está diretamente atrelada a um evento. 
Quando falamos em tamanho prejuízo, estamos nos referindo ao 
impacto, e quando tratamos de métricas e probabilidade, estamos 
nos referindo ao risco. 
 
 
 Pergunta 2 
0,25 em 0,25 pontos 
 
A melhor forma de analisar e avaliar o risco está no uso de uma metodologia existente, 
duas formas de analisar e avaliar o risco que são classificadas como: 
Resposta Selecionada: c. 
Quantitativa e qualitativa. 
Respostas: a. 
Numérica e demonstrativa. 
 
b. 
Demonstrativa e descritiva. 
 
 
c. 
Quantitativa e qualitativa. 
 
d. 
Quantitativa e descritiva. 
 
e. 
Qualitativa e demonstrativa. 
Feedback 
da resposta: 
Resposta: C 
Comentário: as duas formas são: a primeira é qualitativa, em que são 
definidos critérios de avaliação, exemplo de risco alto, médio e baixo; 
e a segunda é quantitativa, em que são atribuídos números as 
análises, por exemplo 1-5: risco baixo, 6-10: risco médio e 11-15: 
risco alto. 
 
 
 Pergunta 3 
0,25 em 0,25 pontos 
 
A origem dos problemas de segurança está baseada em três fontes diferentes: 
 
Resposta Selecionada: c. 
Natural, acidental e intencional. 
Respostas: a. 
Natural, anormal e humana. 
 
b. 
Acidental, humana e tecnológica. 
 
c. 
Natural, acidental e intencional. 
 
d. 
Intencional, humana e anormal. 
 
e. 
Acidental, anormal e tecnológica. 
Feedback da 
resposta: 
Resposta: C 
Comentário: a origem dos problemas de segurança está baseada 
sempre nos fatores naturais, acidentais e intencionais; não 
existindo outra possibilidade. 
 
 
 
 Pergunta 4 
0,25 em 0,25 pontos 
 
Algumas referências bibliográficas nomeiam os componentes de segurança da 
informação de “corrente da segurança da informação”, em que a força de uma 
corrente é verificada por meio de seu elo mais frágil. Diante dessa análise, qual seria o 
elo mais frágil para segurança da informação? 
 
 
Resposta Selecionada: a. 
Pessoas. 
Respostas: a. 
Pessoas. 
 
b. 
Processos. 
 
c. 
Tecnologia. 
 
d. 
Automação. 
 
e. 
Desenvolvimento de sistemas. 
Feedback da 
resposta: 
Resposta: A 
Comentário: as pessoas são mais suscetíveis e vulneráveis. Não 
adianta todo aparato tecnológico de segurança se as pessoas não 
estão devidamente preparadas, instruídas, conscientizadas e 
treinadas. 
 
 
 
 Pergunta 5 
0,25 em 0,25 pontos 
 
Arthur Alves de Magalhães, responsável pela área de suporte à rede, ficou 
responsável em garantir que as informações não sofram alterações em todos os seus 
estados possíveis. Arthur ficou responsável em proteger qual dos pilares da segurança 
da informação? 
 
Resposta Selecionada: e. 
Integridade. 
 
Respostas: a. 
Confidencialidade. 
 
b. 
Disponibilidade. 
 
c. 
Legalidade. 
 
d. 
Legitimidade. 
 
e. 
Integridade. 
 
 
Feedback da 
resposta: 
Resposta: E 
Comentário: garantir que a informação não sofra alterações em 
 
qualquer que seja seu estado, incluindo na transmissão por rede e 
dever do pilar integridade. 
 
 Pergunta 6 
0,25 em 0,25 pontos 
 
Nelson Roberto da Silva, gestor da área de TI, foi recentemente nomeado e promovido 
ao cargo de gerente de segurança da informação “Security Office”. É correto afirmar 
sobre as novas atribuições de Nelson: 
I – Nelson dever gerenciar, desenvolver e implementar as políticas globais de 
segurança, em que deve ser segmentado em políticas, normas e procedimentos; e 
promover a atualização periódica desses documentos. 
II – Nelson não precisa se preocupar com outra coisa a não ser com a segurança 
tecnológica, mesmo porque um dos motivos de sua nomeação foi o fato de que ele ser 
gestor de TI da empresa. 
III - Deverá promover a cultura de segurança na empresa. 
IV – Deverá gerenciar os perfis de acesso para rede, dados e softwares. 
 
Resposta Selecionada: a. 
I, II e IV estão corretas. 
Respostas: a. 
I, II e IV estão corretas. 
 
b. 
II, III e IV estão corretas. 
 
c. 
I e IV estão corretas. 
 
d. 
I, II e III estão corretas. 
 
e. 
I, II, III e IV estão corretas. 
Feedback da 
resposta: 
Resposta: A 
Comentário: apesar de sua origem nas áreas de TI da empresa, 
Nelson nunca pode se esquecer de que a segurança da informação 
se preocupa com processos e pessoas, além da própria tecnologia. 
 
 
 Pergunta 7 
0,25 em 0,25 pontos 
 
O processo de classificação da informação consiste em organizar as informações pelo 
seu grau de importância e, a partir daí, definir quais os níveis de proteção que cada 
ativo de informação requer. Referente à classificação da informação é correto afirmar 
que: 
I – Um dos objetivos da classificação da informação é para proteção dos ativos de 
 
informação. 
II – Um dos objetivos da classificação da informação é para economia, em que, após a 
classificação, serão aplicados recursos e/ou mecanismos naquilo que realmente 
requer proteção. 
III - A classificação da informação é imutável; sendo assim após classificada uma 
informação, nunca mais poderá ser reclassificada. 
IV - O enquadramento dos ativos de informação aos níveis previamente definidos é de 
reponsabilidade do dono proprietário daquele ativo de informação. 
Resposta Selecionada: a. 
I, II e IV estão corretas. 
Respostas: a. 
I, II e IV estão corretas. 
 
b. 
II, III e IV estão corretas. 
 
c. 
I e IV estão corretas. 
 
d. 
I, II e III estão corretas. 
 
e. 
I, II, III e IV estão corretas. 
Feedback 
da 
resposta: 
Resposta: A 
Comentário: a classificação da informação não é imutável, pelo 
contrário. Assim como a informação passa por um ciclo de vida, a 
classificação da informação pode mudar conforme a fase do ciclo de 
vida que ela está passando. Exemplo: o balanço financeiro de uma 
empresa passa por todos os níveis de classificação, quando está 
sendo levantado é confidencial, quando está sendo desenvolvido é 
interno e quando vai ser publicado se torna inclusive por lei público. 
 
 
 Pergunta 8 
0,25 em 0,25 pontos 
 
Proteções podem ser definidas como medidas que serão adotadas para proporcionar 
segurança aos ativos de informação, as proteções são implantadas em três aspectos, 
em que podemos destacar: 
I - No tipo de proteção física são implantados mecanismos como portas, fechaduras, 
câmeras de segurança. 
II – No tipo de proteção lógica são implantados mecanismos como permissões em 
sistemas de arquivos. 
III – No tipo de proteção administrativa são implantados mecanismos como política, 
normas e procedimentos de segurança da informação. 
IV – No tipo de proteção operacional são implantados mecanismos comopadrões de 
configuração de segurança para estações de trabalho. 
 
Resposta Selecionada: d. 
I, II e III estão corretas. 
Respostas: a. 
I, II e IV estão corretas. 
 
b. 
II, III e IV estão corretas. 
 
c. 
I e IV estão corretas. 
 
d. 
I, II e III estão corretas. 
 
e. 
I, II, III e IV estão corretas. 
Feedback da 
resposta: 
Resposta: D 
Comentário: a implantação de mecanismos de proteção 
operacionais não faz parte do escopo da segurança da informação, 
sendo apenas os tipos de proteção lógica, física e administrativa. 
 
 
 
 Pergunta 9 
0,25 em 0,25 pontos 
 
Raimundo José Guimarães, responsável pela área de Segurança da Informação da 
empresa HKM – Diagnósticos, constatou, após analisar o risco de vazamento de 
informações dos exames médicos dos clientes da HKM, que o risco era alto com 
impacto devastador, com danos irreversíveis ao negócio. Quais estratégias seriam 
adequadas para Raimundo tratar esse risco? 
I - Ele deve estudar alternativas para evitar o risco que significa não expor o ativo a 
situações de risco. 
II - Ele poderá propor a contratação de um seguro para cobrir os prejuízos pela 
concretização de um impacto. 
III – Ele deve ter consciência de que mesmo após adotar todas as medidas possíveis 
ainda haverá risco, que em segurança da informação chamamos de risco residual. 
 
Resposta Selecionada: e. 
I, II e III estão corretas. 
Respostas: a. 
Apenas a afirmativa I está correta. 
 
b. 
Apenas a afirmativa II está correta. 
 
c. 
Apenas a afirmativa III está correta. 
 
d. 
I e III estão corretas. 
 
 
e. 
I, II e III estão corretas. 
Feedback da 
resposta: 
Resposta: E 
Comentário: a melhor forma de tratar o risco é misturando as 
medidas, por exemplo: transferindo e reduzindo. 
 
 Pergunta 10 
0,25 em 0,25 pontos 
 
Toda informação é perecível e com prazo de validade determinado, o que chamamos 
de ciclo de vida da informação, em que podemos afirmar que: 
I- Na fase de geração, a informação pode também ser herdada ou adquirida de 
terceiros. 
II- Na fase de descarte, não é necessária nenhuma medida de segurança. 
III- Na fase de transmissão, em que por algum motivo a informação será passada de 
um ponto a outro por meio de algum canal de comunicação. 
IV- Na fase de armazenamento, os ativos de informação que não estão sendo ou que 
já foram tratados ou transmitidos devem ser devidamente guardados de forma 
organizada para possíveis consultas futuras. 
 
Resposta Selecionada: d. 
I, III e IV estão corretas. 
 
Respostas: a. 
I, II e IV estão corretas. 
 
b. 
I, II e III estão corretas. 
 
c. 
I e IV estão corretas. 
 
d. 
I, III e IV estão corretas. 
 
e. 
II e III estão corretas. 
 
 
Feedback da 
resposta: 
Resposta: D 
Comentário: na fase de descarte, assim como em todas as fases, é 
importante a preocupação com a segurança da 
informação, certificando que o descarte adequado foi dado as 
informações.