SEGURANÇA DA INFORMAÇAO - QUESTIONÁRIO UNIDADE I

Prévia do material em texto

SEGURANÇA DA INFORMAÇAO - QUESTIONÁRIO UNIDADE I
· Pergunta 1
0,25 em 0,25 pontos
	
	
	
	A implantação de mecanismos de proteção é importante para segurança da informação diante das ameaças que estão a nossa volta. A melhor definição para ameaça é:
I- Evento que tem potencial para causar prejuízos aos ativos de informação da organização, trazendo danos diretos como roubos ou prejuízos em situações inesperadas como incêndio.
II- Refere-se ao tamanho do prejuízo, que pode ser medido por meio de propriedades mensuráveis ou abstratas, que uma determinada ameaça causará.
III- Medida que indica a probabilidade de exploração de uma vulnerabilidade.
	
	
	
	
		Resposta Selecionada:
	a. 
Apenas a afirmativa I está correta.
	Respostas:
	a. 
Apenas a afirmativa I está correta.
	
	b. 
Apenas a afirmativa II está correta.
	
	c. 
Apenas a afirmativa III está correta.
	
	d. 
I e III estão corretas.
	
	e. 
II e III estão corretas.
	Feedback da resposta:
	Resposta: A
Comentário:  a ameaça está diretamente atrelada a um evento. Quando falamos em tamanho prejuízo, estamos nos referindo ao impacto, e quando tratamos de métricas e probabilidade, estamos nos referindo ao risco.
	
	
	
· Pergunta 2
0,25 em 0,25 pontos
	
	
	
	A melhor forma de analisar e avaliar o risco está no uso de uma metodologia existente, duas formas de analisar e avaliar o risco que são classificadas como:
	
	
	
	
		Resposta Selecionada:
	c. 
Quantitativa e qualitativa.
	Respostas:
	a. 
Numérica e demonstrativa.
	
	b. 
Demonstrativa e descritiva.
	
	c. 
Quantitativa e qualitativa.
	
	d. 
Quantitativa e descritiva.
	
	e. 
Qualitativa e demonstrativa.
	Feedback da resposta:
	Resposta: C
Comentário: as duas formas são: a primeira é qualitativa, em que são definidos critérios de avaliação, exemplo de risco alto, médio e baixo; e a segunda é quantitativa, em que são atribuídos números às análises, por exemplo 1-5: risco baixo, 6-10: risco médio e 11-15: risco alto.
	
	
	
· Pergunta 3
0,25 em 0,25 pontos
	
	
	
	A origem dos problemas de segurança está baseada em três fontes diferentes:
	
	
	
	
		Resposta Selecionada:
	c. 
Natural, acidental e intencional.
	Respostas:
	a. 
Natural, anormal e humana.
	
	b. 
Acidental, humana e tecnológica.
	
	c. 
Natural, acidental e intencional.
	
	d. 
Intencional, humana e anormal.
	
	e. 
Acidental, anormal e tecnológica.
	Feedback da resposta:
	Resposta: C
Comentário: a origem dos problemas de segurança está baseada sempre nos fatores naturais, acidentais e intencionais; não existindo outra possibilidade.
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	Algumas referências bibliográficas nomeiam os componentes de segurança da informação de “corrente da segurança da informação”, em que a força de uma corrente é verificada por meio de seu elo mais frágil. Diante dessa análise, qual seria o elo mais frágil para segurança da informação?
	
	
	
	
		Resposta Selecionada:
	a. 
Pessoas.
	Respostas:
	a. 
Pessoas.
	
	b. 
Processos.
	
	c. 
Tecnologia.
	
	d. 
Automação.
	
	e. 
Desenvolvimento de sistemas.
	Feedback da resposta:
	Resposta: A
Comentário: as pessoas são mais suscetíveis e vulneráveis. Não adianta todo aparato tecnológico de segurança se as pessoas não estão devidamente preparadas, instruídas, conscientizadas e treinadas.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	Arthur Alves de Magalhães, responsável pela área de suporte à rede, ficou responsável em garantir que as informações não sofram alterações em todos os seus estados possíveis. Arthur ficou responsável em proteger qual dos pilares da segurança da informação?
	
	
	
	
		Resposta Selecionada:
	e. 
Integridade.
	Respostas:
	a. 
Confidencialidade.
	
	b. 
Disponibilidade.
	
	c. 
Legalidade.
	
	d. 
Legitimidade.
	
	e. 
Integridade.
	Feedback da resposta:
	Resposta: E
Comentário: garantir que a informação não sofra alterações em qualquer que seja seu estado, incluindo na transmissão por rede e dever do pilar integridade.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	Nelson Roberto da Silva, gestor da área de TI, foi recentemente nomeado e promovido ao cargo de gerente de segurança da informação “Security Office”. É correto afirmar sobre as novas atribuições de Nelson:
I- Nelson deve gerenciar, desenvolver e implementar as políticas globais de segurança, em que deve ser segmentado em políticas, normas e procedimentos; e promover a atualização periódica desses documentos.
II- Nelson não precisa se preocupar com outra coisa a não ser com a segurança tecnológica, mesmo porque um dos motivos de sua nomeação foi o fato de que ele ser gestor de TI da empresa.
III- Deverá promover a cultura de segurança na empresa.
IV- Deverá gerenciar os perfis de acesso para rede, dados e softwares.
	
	
	
	
		Resposta Selecionada:
	a. 
I, II e IV estão corretas.
	Respostas:
	a. 
I, II e IV estão corretas.
	
	b. 
II, III e IV estão corretas.
	
	c. 
I e IV estão corretas.
	
	d. 
I, II e III estão corretas.
	
	e. 
I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: A
Comentário: apesar de sua origem nas áreas de TI da empresa, Nelson nunca pode se esquecer de que a segurança da informação se preocupa com processos e pessoas, além da própria tecnologia.
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	O processo de classificação da informação consiste em organizar as informações pelo seu grau de importância e, a partir daí, definir quais os níveis de proteção que cada ativo de informação requer. Referente à classificação da informação é correto afirmar que:
I- Um dos objetivos da classificação da informação é para proteção dos ativos de informação.
II- Um dos objetivos da classificação da informação é para economia, em que, após a classificação, serão aplicados recursos e/ou mecanismos naquilo que realmente requer proteção.
III- A classificação da informação é imutável; sendo assim após classificada uma informação, nunca mais poderá ser reclassificada.
IV- O enquadramento dos ativos de informação aos níveis previamente definidos é de reponsabilidade do dono proprietário daquele ativo de informação.
	
	
	
	
		Resposta Selecionada:
	a. 
I, II e IV estão corretas.
	Respostas:
	a. 
I, II e IV estão corretas.
	
	b. 
II, III e IV estão corretas.
	
	c. 
I e IV estão corretas.
	
	d. 
I, II e III estão corretas.
	
	e. 
I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: A
Comentário: a classificação da informação não é imutável, pelo contrário. Assim como a informação passa por um ciclo de vida, a classificação da informação pode mudar conforme a fase do ciclo de vida que ela está passando. Exemplo: o balanço financeiro de uma empresa passa por todos os níveis de classificação, quando está sendo levantado é confidencial, quando está sendo desenvolvido é interno e quando vai ser publicado se torna inclusive por lei público.
	
	
	
· Pergunta 8
0,25 em 0,25 pontos
	
	
	
	Proteções podem ser definidas como medidas que serão adotadas para proporcionar segurança aos ativos de informação, as proteções são implantadas em três aspectos, em que podemos destacar:
I- No tipo de proteção física são implantados mecanismos como portas, fechaduras, câmeras de segurança.
II- No tipo de proteção lógica são implantados mecanismos como permissões em sistemas de arquivos.
III- No tipo de proteção administrativa são implantados mecanismos como política, normas e procedimentos de segurança da informação.
IV- No tipo de proteção operacional são implantados mecanismos como padrões de configuração de segurança para estações de trabalho.
	
	
	
	
		Resposta Selecionada:
	d. 
I, II e III estão corretas.
	Respostas:
	a. 
I, II e IV estão corretas.
	
	b. 
II, III e IV estão corretas.
	
	c. 
I e IV estão corretas.
	
	d. 
I, II e III estão corretas.
	
	e. 
I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: D
Comentário:  a implantação de mecanismos de proteção operacionais não faz parte do escopo da segurança da informação, sendo apenas os tipos de proteção lógica, física e administrativa.· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	Raimundo José Guimarães, responsável pela área de Segurança da Informação da empresa HKM – Diagnósticos, constatou, após analisar o risco de vazamento de informações dos exames médicos dos clientes da HKM, que o risco era alto com impacto devastador, com danos irreversíveis ao negócio. Quais estratégias seriam adequadas para Raimundo tratar esse risco?
I- Ele deve estudar alternativas para evitar o risco que significa não expor o ativo a situações de risco. 
II- Ele poderá propor a contratação de um seguro para cobrir os prejuízos pela concretização de um impacto.
III- Ele deve ter consciência de que mesmo após adotar todas as medidas possíveis ainda haverá risco, que em segurança da informação chamamos de risco residual.
	
	
	
	
		Resposta Selecionada:
	e. 
I, II e III estão corretas.
	Respostas:
	a. 
Apenas a afirmativa I está correta.
	
	b. 
Apenas a afirmativa II está correta.
	
	c. 
Apenas a afirmativa III está correta.
	
	d. 
I e III estão corretas.
	
	e. 
I, II e III estão corretas.
	Feedback da resposta:
	Resposta:  E
Comentário: a melhor forma de tratar o risco é misturando as medidas, por exemplo: transferindo e reduzindo.
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	Toda informação é perecível e com prazo de validade determinado, o que chamamos de ciclo de vida da informação, em que podemos afirmar que:
I- Na fase de geração, a informação pode também ser herdada ou adquirida de terceiros.
II- Na fase de descarte, não é necessária nenhuma medida de segurança.
III- Na fase de transmissão, em que por algum motivo a informação será passada de um ponto a outro por meio de algum canal de comunicação.
IV- Na fase de armazenamento, os ativos de informação que não estão sendo ou que já foram tratados ou transmitidos devem ser devidamente guardados de forma organizada para possíveis consultas futuras.
	
	
	
	
		Resposta Selecionada:
	d. 
I, III e IV estão corretas.
	Respostas:
	a. 
I, II e IV estão corretas.
	
	b. 
I, II e III estão corretas.
	
	c. 
I e IV estão corretas.
	
	d. 
I, III e IV estão corretas.
	
	e. 
II e III estão corretas.
	Feedback da resposta:
	Resposta: D
Comentário: na fase de descarte, assim como em todas as fases, é importante a preocupação com a segurança da informação, certificando que o descarte adequado foi dado as informações.
	
	
	
 
SEGURANÇA
 
DA
 
INFORMAÇAO
 
-
 
QUESTIONÁRIO UNIDADE I
 
 
·
 
Pergunta 1
 
0,25 em 0,25 pontos
 
 
 
 
A implantação de mecanismos de proteção é importante para segurança da informação diante das 
ameaças que estão a nossa volta
. A melhor definição para ameaça é:
 
I
-
 
Evento que tem potencial para causar prejuízos aos ativos de informação da organização, trazendo 
danos diretos como roubos ou prejuízos em situações inesperadas como incêndio.
 
II
-
 
Refere
-
se ao tamanho do prejuízo, que
 
pode ser medido por meio de propriedades mensuráveis ou 
abstratas, que uma determinada ameaça causará.
 
III
-
 
Medida que indica a probabilidade de exploração de uma vulnerabilidade.
 
 
 
 
Resposta
 
Selecionada:
 
a.
 
 
Apenas
 
a
 
afirmativa
 
I
 
está
 
correta.
 
Respostas:
 
a.
 
 
Apenas
 
a
 
afirmativa
 
I
 
está
 
correta.
 
 
b.
 
 
Apenas
 
a
 
afirmativa
 
II
 
está
 
correta.
 
 
c.
 
 
Apenas
 
a
 
afirmativa
 
III
 
está
 
correta.
 
 
d.
 
 
I
 
e
 
III
 
estão
 
corretas.
 
 
e.
 
 
II
 
e
 
III
 
estão
 
corretas.
 
Feedback
 
da
 
resposta:
 
Resposta: A
 
Comentário:
 
 
a ameaça está diretamente atrelada a um evento. Quando falamos em 
tamanho prejuízo, estamos nos referindo ao impacto, e quando tratamos de métricas e 
probabilidade, estamos nos referindo ao risco.
 
 
 
 
 
·
 
Pergunta 2
 
0,25 em 0,25 pontos
 
 
 
 
A melhor forma de analisar e avaliar o risco está no uso de uma metodologia 
existente, duas formas de 
analisar e avaliar o risco que são classificadas como:
 
 
 
 
Resposta
 
Selecionada:
 
c.
 
 
Quantitativa
 
e
 
qualitativa.
 
Respostas:
 
a.
 
 
Numérica
 
e
 
demonstrativa.
 
 
b.
 
 
Demonstrativa
 
e
 
descritiva.
 
 
c.
 
 
Quantitativa
 
e
 
qualitativa.
 
 
d.
 
 
Quantitativa
 
e
 
descritiva.
 
 
e.
 
 
Qualitativa
 
e
 
demonstrativa.
 
Feedback
 
da
 
resposta:
 
Resposta: C
 
Comentário: as duas formas são: a primeira é qualitativa, em que são definidos critérios 
de avaliação, exemplo de risco alto, médio e baixo; e a segunda é quantitativa, em que 
são atribuídos números às análises, por exemplo 1
-
5: risco baixo, 6
-
10: risco mé
dio e 11
-
15: risco alto.
 
 
 
 
 
·
 
Pergunta 3
 
0,25 em 0,25 pontos
 
 
 
 
A origem dos problemas de segurança está baseada em três fontes diferentes:
 
 
 
 
Resposta
 
Selecionada:
 
c.
 
 
Natural,
 
acidental
 
e
 
intencional.
 
Respostas:
 
a.
 
 
 
 
 
 
SEGURANÇA DA INFORMAÇAO - QUESTIONÁRIO UNIDADE I 
 
 Pergunta 1 
0,25 em 0,25 pontos 
 
 
A implantação de mecanismos de proteção é importante para segurança da informação diante das 
ameaças que estão a nossa volta. A melhor definição para ameaça é: 
I- Evento que tem potencial para causar prejuízos aos ativos de informação da organização, trazendo 
danos diretos como roubos ou prejuízos em situações inesperadas como incêndio. 
II- Refere-se ao tamanho do prejuízo, que pode ser medido por meio de propriedades mensuráveis ou 
abstratas, que uma determinada ameaça causará. 
III- Medida que indica a probabilidade de exploração de uma vulnerabilidade. 
 
Resposta Selecionada: 
a. 
Apenas a afirmativa I está correta. 
Respostas: 
a. 
Apenas a afirmativa I está correta. 
 
b. 
Apenas a afirmativa II está correta. 
 
c. 
Apenas a afirmativa III está correta. 
 
d. 
I e III estão corretas. 
 
e. 
II e III estão corretas. 
Feedback da 
resposta: 
Resposta: A 
Comentário: a ameaça está diretamente atrelada a um evento. Quando falamos em 
tamanho prejuízo, estamos nos referindo ao impacto, e quando tratamos de métricas e 
probabilidade, estamos nos referindo ao risco. 
 
 
 Pergunta 2 
0,25 em 0,25 pontos 
 
 
A melhor forma de analisar e avaliar o risco está no uso de uma metodologia existente, duas formas de 
analisar e avaliar o risco que são classificadas como: 
 
Resposta Selecionada: 
c. 
Quantitativa e qualitativa. 
Respostas: a. 
Numérica e demonstrativa. 
 
b. 
Demonstrativa e descritiva. 
 
c. 
Quantitativa e qualitativa. 
 
d. 
Quantitativa e descritiva. 
 
e. 
Qualitativa e demonstrativa. 
Feedback da 
resposta: 
Resposta: C 
Comentário: as duas formas são: a primeira é qualitativa, em que são definidos critérios 
de avaliação, exemplo de risco alto, médio e baixo; e a segunda é quantitativa, em que 
são atribuídos números às análises, por exemplo 1-5: risco baixo, 6-10: risco médio e 11-
15: risco alto. 
 
 
 Pergunta 3 
0,25 em 0,25 pontos 
 
 
A origem dos problemas de segurança está baseada em três fontes diferentes: 
 
Resposta Selecionada: 
c. 
Natural, acidental e intencional. 
Respostas: a.