SASI - Tentativa 1 - AH

Prévia do material em texto

…
Pedro trabalha no setor de TI da empresa ZYZ e está bastante descontente
com seu trabalho e seu relacionamento com o superior hierárquico. Ciente
deste fato, o superior iniciou procedimentos para o desligamento do Pedro da
empresa, mas teme que Pedro possa se rebelar e causar danos à organização,
principalmente pelo fato de ele trabalhar no setor de TI. Com relação às boas
práticas de segurança da informação, o que é recomendado neste caso em
relação aos direitos de acesso de Pedro?
Os direitos de acesso de Pedro devem ser revogados antes
mesmo de sua saída, para garantir que ele não gere danos à
organização por algum motivo indevido.
Pedro não pode ser demitido.
O superior hierárquico de Pedro deve conversar com ele e
pedir colaboração no processo de saída.
Os direitos de acesso de Pedro devem ser revogados antes
mesmo de sua saída, para garantir que ele não gere danos à
organização por algum motivo indevido.
Pedro deve ser transferido de setor, não atuando mais na TI.
Alternativa C. Os direitos de acesso de Pedro devem ser
revogados antes mesmo de sua saída, para garantir que ele não
gere danos à organização por algum motivo indevido. É
importante ressaltar que, em função de como ocorreu o
desligamento, os privilégios e direitos de acesso devem ser
alterados antes do efetivo encerramento das atividades. Por
exemplo, no caso de uma demissão por parte da empresa, em
função de descontentamento de atividades de um colaborador, a
reação deste pode ser drástica. Logo, com razoabilidade e
proporcionalidade, a empresa pode tomar medidas que
contingenciem qualquer atitude que tenha o objetivo de
prejudicá-la.
No que concerne à gestão de ativos, a norma apresenta alguns tipos de ativos
mais comuns. Qual dos itens abaixo NÃO é um ativo definido pela norma?
A vos virtuais.
A vo de informação.
A vos virtuais.
Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?a...
1 of 6 18/05/2020 18:10
A vo de 
A vos humanos.
Alternativa B. Ativos virtuais. Os tipos de ativos definidos na
norma são: Ativos de informação, ativos de software, ativos
de serviço, ativos humanos e ativos intangíveis.
São atividades, processos, procedimentos e recursos que objetivam
disponibilizar e manter serviços, sistemas e infraestrutura que os suporta,
satisfazendo os acordos de nível de serviço. Estamos nos referindo a:
Gerenciamento de operações e comunicação.
Gerenciamento de a vos.
Gerenciamento de recursos humanos.
Gerenciamento de operações e comunicação.
Gerenciamento de riscos.
Alternativa C. Gerenciamento de operações e comunicação.
Podemos definir que este gerenciamento trata de atividades,
processos, procedimentos e recursos que objetivam
disponibilizar e manter serviços, sistemas e infraestrutura que
os suporta, satisfazendo os acordos de nível de serviço.
Um determinado software recebeu uma quantidade em demasia para um
campo de entrada de dados e passou a operar incorretamente. Dizemos que o
software sofreu:
Um ataque de buffer overflow.
Um ataque de um vírus.
Uma pane em seu código fonte.
Um ataque de buffer overflow.
Nenhuma das alternativas anteriores.
Alternativa correta c. Um ataque de buffer overflow. Um ataque
de buffer overflow consiste no envio de uma massa de dados de
tamanho superior àquela que o programa aguarda receber. Ao
receber essa massa de dados excessiva, os sistemas
armazenam tais informações em uma área de memória
denominada buffer. Quando o buffer não possui o tamanho
adequado, há um estouro (overflow) do mesmo e o software
passa a se comportar de modo anormal. Há casos em que o
Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?a...
2 of 6 18/05/2020 18:10
software, diante de um buffer overflow, executa uma operação
incorreta e permite acesso ao sistema pelo invasor.
Qual é o nome que se dá ao processo de revisão frequente da política de
segurança da informação?
Análise crí ca
Revisão
Melhoria
Análise crí ca
Evolução
Alternativa C. Análise Crítica. Esse processo inclui a avaliação
de oportunidades para a melhoria da política da organização,
gerenciando-a em resposta às mudanças no ambiente
organizacional, às oportunidades de negócio, às condições
legais e ao ambiente técnico.
Qual definição abaixo melhor define o propósito do processo de gestão de
riscos?
Descobrir os riscos e seus impactos e fazer uso de medidas
de tratamento de modo a deixá-los em um nível aceitável
Descobrir a probabilidade em que os riscos acontecerão
Descobrir quais os dados decorrentes da concretização dos
riscos
Descobrir quais as ameaças que provocam riscos à
organização
Descobrir os riscos e seus impactos e fazer uso de medidas
de tratamento de modo a deixá-los em um nível aceitável
Alternativa D. Descobrir os riscos e seus impactos e fazer uso
de medidas de tratamento de modo a deixá-los em um nível
aceitável. O processo de gestão de riscos tem por objetivo
primordial deixar os riscos em níveis aceitáveis à organização.
Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?a...
3 of 6 18/05/2020 18:10
Com relação à proteção ambiental, devemos estabelecer controles para a
proteção física contra incêndios, terremotos, explosões, perturbação de ordem
pública e ______________. Qual termo é o mais adequado para a proteção
ambiental?
Enchentes.
Enchentes.
Acesso não autorizado a sistemas via internet.
Quebra de um equipamento de proteção de acesso.
Grade física de proteção de perímetro.
Alternativa A. Enchentes. A proteção ambiental refere-se a
problemas do meio ambiente e decorrentes dele. Das
alternativas apresentadas, apenas a enchente é algo
relacionado ao meio ambiente. 
A alta administração da organização tem um papel fundamental no processo de
implantação da política de segurança da informação. Entre suas atribuições,
destaca-se:
Ela apoia e aprova oficialmente a política, como uma forma
de demonstrar seu comprometimento com este documento e
seus preceitos.
Ela atua na cobrança dos subordinados para a correta
implantação da política
Ela exige prazos coerentes para que a política de segurança
da informação seja concretizada
Ela libera os recursos e exige um processo de planejamento
claro e objetivo para a consolidação da política
Ela apoia e aprova oficialmente a política, como uma forma
de demonstrar seu comprometimento com este documento e
seus preceitos.
Alternativa D. Ela apoia e aprova oficialmente a política, como
uma forma de demonstrar seu comprometimento com esse
Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?a...
4 of 6 18/05/2020 18:10
documento e seus preceitos. A alta administração deve aprovar
a política de segurança da informação de modo a demonstrar
seu comprometimento e viabilizar a política de segurança da
informação na organização.
A garantia da confidencialidade é uma das premissas de uma política de
segurança da informação. Qual dos eventos abaixo representa uma ameaça à
confidencialidade da informação?
Os envelopes de malote que possuem conteúdos sigilosos não
são lacrados devidamente
Um servidor de banco de dados é atacado e perde a conexão
com os sistemas
Ninguém consegue efetuar nas máquinas da empresa
Os envelopes de malote que possuem conteúdos sigilosos não
são lacrados devidamente
Um vírus infectou a máquina e corrompeu diversos arquivos
Alternativa C. Os envelopes de malote que possuem
conteúdos sigilosos não são lacrados. A confidencialidade é a
exposição da informação a uma parte não autorizada. Logo,
um envelope de malote com conteúdos sigilosos necessita ser
devidamente lacrado e identificado como confidencial.
Qual é o termo que representa o conjunto formado por sistemas operacionais,
infraestrutura, aplicações de negócio, produtos de prateleira, serviços e
aplicações desenvolvidaspelo usuário?
Sistemas de informação.
Termo de responsabilidade.
Sistemas de informação.
Ativos.
Produtos organizacionais.
Alternativa correta b. Sistemas de informação. Para uma
organização, a norma ISO 27002 define como sistemas de
Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?a...
5 of 6 18/05/2020 18:10
informação o conjunto formado por sistemas operacionais,
infraestrutura, aplicações de negócio, produtos de prateleira
(isto é, são softwares de terceiros que compramos "como são",
sem customização adicional para nosso ambiente), serviços e
aplicações desenvolvidas pelo usuário.
Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?a...
6 of 6 18/05/2020 18:10