SEGURANÇA FÍSICA E LÓGICA QUESTIONÁRIO UNIDADE VIII

Prévia do material em texto

Pergunta 1
0,2 em 0,2 pontos
	
	
	
	É correto afirmar sobre a Política de Segurança da Informação:
I- A Política de Segurança tem como objetivo principal direcionar um programa efetivo de proteção dos ativos de informação, tais como base de dados, documentos, arquivos e outros.
II- A Política de Segurança é conjunto de diretrizes da empresa que visam à proteção das informações da empresa e de seus clientes com base nos princípios de segurança da informação (confidencialidade, integridade e disponibilidade).
III- Política de Segurança deve conter detalhes técnicos de mecanismos a serem utilizados ou procedimentos que devam ser utilizados.
IV- A Política de Segurança da Informação não tem caráter obrigatório, cada Funcionário cumpre se achar necessário.
	
	
	
	
		Resposta Selecionada:
	c. 
Apenas as afirmativas I e II estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I, II e IV estão corretas.
	
	b. 
Apenas as afirmativas II, III e IV estão corretas.
	
	c. 
Apenas as afirmativas I e II estão corretas.
	
	d. 
Apenas as afirmativas I, II e III estão corretas.
	
	e. 
As afirmativas I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: C
Comentário: A Política tem caráter obrigatório e deve ser seguida por todos na Organização, e a Política de Segurança não deve conter detalhes técnicos de mecanismos a serem utilizados ou procedimentos que devam ser utilizados, ela deve conter regras gerais que se apliquem a toda a empresa.
	
	
	
Pergunta 2
0,2 em 0,2 pontos
	
	
	
	É correto afirmar sobre o Direito Digital:
I- Para a maioria dos magistrados, a Internet é apenas a ferramenta que pode ser utilizada para o bem ou para o mal.
II- O Brasil, apesar dos esforços, não possui uma lei específica para o Direito Digital.
III- Por não ter uma lei específica, o Brasil deixa de julgar muitos casos cometidos através da Internet.
	
	
	
	
		Resposta Selecionada:
	a. 
Apenas as afirmativas I e II estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I e II estão corretas.
	
	b. 
Apenas as afirmativas I e III estão corretas.
	
	c. 
Apenas a afirmativa III está correta.
	
	d. 
As afirmativas I, II e III estão corretas.
	
	e. 
Todas as afirmativas estão incorretas.
	Feedback da resposta:
	Resposta: A
Comentário: Atualmente, o Brasil não possui uma legislação específica para regular as relações no mundo virtual, porém, 95% dos casos levados ao ministério são solucionados com base na legislação vigente. Ainda existem algumas situações que a norma vigente não atende, mas isso já é objeto de apreciação em Projetos de Leis em andamento no Congresso Nacional.
	
	
	
Pergunta 3
0,2 em 0,2 pontos
	
	
	
	A grande maioria dos crimes eletrônicos cometidos por meio da internet ocorrem por:
	
	
	
	
		Resposta Selecionada:
	c. 
Falhas humanas.
	Respostas:
	a. 
Falhas de segurança em sistemas.
	
	b. 
Falhas operacionais em aplicativos.
	
	c. 
Falhas humanas.
	
	d. 
Falhas em dispositivos.
	
	e. 
Falhas no desenvolvimento de soluções web.
	Feedback da resposta:
	Resposta: C
Comentário: Mesmo com toda segurança aplicada, não há como prever as atitudes de quem está sentado à frente de um computador. O usuário pode ser enganado ao receber uma mensagem de e-mail contendo vírus de computador. Se seguidos os procedimentos de segurança referentes aos mecanismos tecnológicos, podemos garantir 99% de segurança contra invasões.
	
	
	
Pergunta 4
0,2 em 0,2 pontos
	
	
	
	A política deve adotar filosofia explícita que demonstre a sua intenção com relação ao seu cumprimento por parte de todos na empresa. Sobre essas filosofias, é correto afirmar que:
I- Filosofia Proibitiva – tudo que não é expressamente permitido é proibido.
II- Filosofia Idealista – deve ser seguida a qualquer custo.
III- Filosofia Permissiva – tudo que não é proibido é permitido.
IV- Filosofia Construtivista – aceita sugestões para sempre melhorar.
	
	
	
	
		Resposta Selecionada:
	d. 
Apenas as afirmativas I e III estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I, II e IV estão corretas.
	
	b. 
Apenas as afirmativas II, III e IV estão corretas.
	
	c. 
Apenas as afirmativas I e IV estão corretas.
	
	d. 
Apenas as afirmativas I e III estão corretas.
	
	e. 
As afirmativas I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: D
Comentário: A Política tem caráter proibitivo ou permissivo; a estratégia adotada deve ser coerente com a cultura da empresa.
	
	
	
Pergunta 5
0,2 em 0,2 pontos
	
	
	
	Dentro de um PCN – Plano de Continuidade do Negócio especificamente sobre o BIA – Bussines Impact Analys ou AIN – Análise de Impacto ao Negócio, é correto afirmar que:   
I- Serve para determinar o tempo máximo de parada de um processo.
II- O questionário é elaborado para mapear os processos onde o gestor é o responsável em responder.
III- Tem como principal função definir o PCN.
IV- É componente chave para a elaboração de um PCN.
	
	
	
	
		Resposta Selecionada:
	b. 
Apenas as afirmativas I, II e IV estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I e IV estão corretas.
	
	b. 
Apenas as afirmativas I, II e IV estão corretas.
	
	c. 
Apenas as afirmativas II, III e IV estão corretas.
	
	d. 
Apenas as afirmativas I, II, III e IV estão corretas.
	
	e. 
Todas as afirmativas estão incorretas.
	Feedback da resposta:
	Resposta: B
Comentário: O BIA (Business Impact Analysis), ou AIN (Análise de Impacto nos Negócios), que de forma macro, tem o objetivo de avaliar quais impactos a organização sofrerá por conta da ocorrência de um incidente ou desastre, além de analisar também o tempo máximo permitido de parada. O BIA por si não defini o PCN e, sim, faz parte dele.
	
	
	
Pergunta 6
0,2 em 0,2 pontos
	
	
	
	Em 25/04/2014 foi sancionado o Marco Civil da Internet, do qual é correto afirmar que:
I- Foi uma tentativa de sanar a brecha da não existência de uma lei específica para o Direito Digital.
II- A maioria dos crimes digitais acontece por falha humana.
III- Os usuários, às vezes, sem saber, acabam ferindo o Direito das outras pessoas.
	
	
	
	
		Resposta Selecionada:
	d. 
As afirmativas I, II, III estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I e II estão corretas.
	
	b. 
Apenas as afirmativas I e III estão corretas.
	
	c. 
Apenas a afirmativa III está correta.
	
	d. 
As afirmativas I, II, III estão corretas.
	
	e. 
Todas as afirmativas estão incorretas.
	Feedback da resposta:
	Resposta: D
Comentário: O Marco Civil da Internet, oficialmente chamado de Lei N° 12.965/14, é a lei que regula o uso da Internet no Brasil, foi sancionado em 25 de abril de 2014, pela então presidente Dilma Rousseff. Ela tentou sanar a lacuna da ausência de uma lei específica, mas esse foi apenas o início de um processo longo para regulamentar a matéria no Brasil.
	
	
	
Pergunta 7
0,2 em 0,2 pontos
	
	
	
	O time do CIRT (Computer Incident Response Team – Time de Resposta a Incidentes Computacionais) é formado por:
	
	
	
	
		Resposta Selecionada:
	a. 
É formado por um grupo multidisciplinar de profissionais.
	Respostas:
	a. 
É formado por um grupo multidisciplinar de profissionais.
	
	b. 
E formado por executivos da organização.
	
	c. 
É formado por experts no assunto.
	
	d. 
É formado por crackers.
	
	e. 
Por uma auditoria independente.
	Feedback da resposta:
	Resposta: A
Comentário: O CIRT é formado por um grupo multidisciplinar de profissionais. Esta característica procura atender à necessidade de, na eventualidade de um incidente, o time ser capaz de atuar em várias frentes paralelamente, identificando as causas e coletando evidências do ataque. Este grupo de funcionários não possui dedicação exclusiva ao CIRT, porém, quando acionado pelolíder do CIRT, deve responder imediatamente; pode-se fazer uma analogia comparando o CIRT à brigada de incêndio das empresas.
	
	
	
Pergunta 8
0,2 em 0,2 pontos
	
	
	
	Para implantar e estruturar um time de um CIRT (Computer Incident Response Team – Time de Resposta a Incidentes Computacionais) temos que compreender primeiramente os conceitos de Eventos e de Incidentes de Segurança da Informação. Dessa forma, é correto afirmar que:
I- Evento é um evento ou uma cadeia de eventos maliciosos sobre um sistema de informação.
II- Incidente é uma ocorrência observável a respeito de um sistema de informação.
III- Evento é uma ocorrência observável a respeito de um sistema de informação.
IV- Incidente é um evento ou uma cadeia de eventos maliciosos sobre um sistema de informação.
	
	
	
	
		Resposta Selecionada:
	b. 
Apenas as afirmativas III e IV estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I e II estão corretas.
	
	b. 
Apenas as afirmativas III e IV estão corretas.
	
	c. 
Apenas as afirmativas I e IV estão corretas.
	
	d. 
Apenas as afirmativas II e IV estão corretas.
	
	e. 
Apenas as afirmativas I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: B
Comentário: Evento é uma ocorrência observável a respeito de um sistema de informação a exemplo de um e-mail, um telefonema, o travamento de um servidor (crash). Incidente é um evento ou uma cadeia de eventos maliciosos sobre um sistema de informação, que implica em comprometimento ou tentativa de comprometimento da segurança.
	
	
	
Pergunta 9
0,2 em 0,2 pontos
	
	
	
	Sabemos que o objetivo de um PCN – Plano de Continuidade do Negócio refere-se à estratégia de ação para recuperar os processos-chave da empresa em caso de uma parada (desastre), a fim de que, ao menos, eles continuem em operação em um período de desastre. Sobre um PCN, é correto afirmar que:
I- Uma forma de preparar um site de recuperação seria o chamado Cold Site: apenas um local físico que pode receber os equipamentos.
II- Um PCN tem como missão mapear os processos de negócio da empresa, identificando os processos críticos a serem restaurados.
III- Uma forma de preparar um site de recuperação seria o chamado Sister Site, que tem como principal objetivo manter uma instalação semelhante em outra região para manter o negócio em caso de interrupção.
	
	
	
	
		Resposta Selecionada:
	d. 
As afirmativas I, II, III estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I e II estão corretas.
	
	b. 
Apenas as afirmativas I e III estão corretas.
	
	c. 
Apenas a afirmativa III está correta.
	
	d. 
As afirmativas I, II, III estão corretas.
	
	e. 
Todas as afirmativas estão incorretas.
	Feedback da resposta:
	Resposta: D
Comentário: O PCN pode ser considerado uma evolução do DRP (Disaster Recovery Plan) ou PRD (Plano de Recuperação de Desastres), cujo o foco era somente os ativos de Tecnologia da Informação, diferente do PCN, cujo processo abrange, além das áreas de T.I., pessoas e processos. A criação e manutenção deste plano é chamado de Gestão de Continuidade de Negócio.
	
	
	
Pergunta 10
0,2 em 0,2 pontos
	
	
	
	Sobre o processo de elaboração da política, é correto afirmar que:
I- Deve levar em conta os requisitos de negócio.
II- Deve respeitar os requisitos legais.
III- Deve acontecer após a análise de riscos.
IV- Servirá de subsídio para os Controles Internos (Compliance).
	
	
	
	
		Resposta Selecionada:
	e. 
As afirmativas I, II, III e IV estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I, II e IV estão corretas.
	
	b. 
Apenas as afirmativas II, III e IV estão corretas.
	
	c. 
Apenas as afirmativas I e IV estão corretas.
	
	d. 
Apenas as afirmativas I e III estão corretas.
	
	e. 
As afirmativas I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: E
Comentário: A empresa para desenvolver a sua Política estar alinhada com os requisitos de negócio, com os aspectos legais e deve partir de uma análise de risco após implantada servirá de parâmetro para os agentes de controles internos.