Conceitos de Segurança da Informação

Prévia do material em texto

 Pergunta 1 
0,25 em 0,25 pontos 
 
A implantação de mecanismos de proteção é importante para 
segurança da informação diante das ameaças que estão a nossa 
volta. A melhor definição para ameaça é: 
I- Evento que tem potencial para causar prejuízos aos ativos de 
informação da organização, trazendo danos diretos como roubos ou 
prejuízos em situações inesperadas como incêndio. 
II- Refere-se ao tamanho do prejuízo, que pode ser medido por meio 
de propriedades mensuráveis ou abstratas, que uma determinada 
ameaça causará. 
III- Medida que indica a probabilidade de exploração de uma 
vulnerabilidade. 
 
Resposta Selecionada: a. 
Apenas a afirmativa I está correta. 
Respostas: a. 
Apenas a afirmativa I está correta. 
 b. 
Apenas a afirmativa II está correta. 
 c. 
Apenas a afirmativa III está correta. 
 d. 
I e III estão corretas. 
 e. 
II e III estão corretas. 
Feedback 
da resposta: 
Resposta: A 
Comentário: a ameaça está diretamente atrelada a um 
evento. Quando falamos em tamanho prejuízo, estamos 
nos referindo ao impacto, e quando tratamos de 
métricas e probabilidade, estamos nos referindo ao risco. 
 
 
 Pergunta 2 
0,25 em 0,25 pontos 
 
A melhor forma de analisar e avaliar o risco está no uso de uma metodologia existente, duas 
formas de analisar e avaliar o risco que são classificadas como: 
Resposta Selecionada: c. 
Quantitativa e qualitativa. 
Respostas: a. 
Numérica e demonstrativa. 
 b. 
Demonstrativa e descritiva. 
 
 c. 
Quantitativa e qualitativa. 
 d. 
Quantitativa e descritiva. 
 e. 
Qualitativa e demonstrativa. 
Feedback da 
resposta: 
Resposta: C 
Comentário: as duas formas são: a primeira é qualitativa, em que são definidos 
critérios de avaliação, exemplo de risco alto, médio e baixo; e a segunda é 
quantitativa, em que são atribuídos números às análises, por exemplo 1-5: risco 
baixo, 6-10: risco médio e 11-15: risco alto. 
 
 Pergunta 3 
0,25 em 0,25 pontos 
 
A origem dos problemas de segurança está baseada em três fontes 
diferentes: 
 
Resposta Selecionada: c. 
Natural, acidental e intencional. 
Respostas: a. 
Natural, anormal e humana. 
 b. 
Acidental, humana e tecnológica. 
 c. 
Natural, acidental e intencional. 
 d. 
Intencional, humana e anormal. 
 e. 
Acidental, anormal e tecnológica. 
Feedback da 
resposta: 
Resposta: C 
Comentário: a origem dos problemas de segurança está 
baseada sempre nos fatores naturais, acidentais e 
intencionais; não existindo outra possibilidade. 
 
 
 Pergunta 4 
0,25 em 0,25 pontos 
 
Algumas referências bibliográficas nomeiam os componentes de 
segurança da informação de “corrente da segurança da 
informação”, em que a força de uma corrente é verificada por meio 
de seu elo mais frágil. Diante dessa análise, qual seria o elo mais 
frágil para segurança da informação? 
 
Resposta Selecionada: a. 
Pessoas. 
 
Respostas: a. 
Pessoas. 
 b. 
Processos. 
 c. 
Tecnologia. 
 d. 
Automação. 
 e. 
Desenvolvimento de sistemas. 
Feedback 
da resposta: 
Resposta: A 
Comentário: as pessoas são mais suscetíveis e 
vulneráveis. Não adianta todo aparato tecnológico de 
segurança se as pessoas não estão devidamente 
preparadas, instruídas, conscientizadas e treinadas. 
 
 Pergunta 5 
0,25 em 0,25 pontos 
 
Arthur Alves de Magalhães, responsável pela área de suporte à rede, 
ficou responsável em garantir que as informações não sofram 
alterações em todos os seus estados possíveis. Arthur ficou 
responsável em proteger qual dos pilares da segurança da 
informação? 
 
Resposta Selecionada: e. 
Integridade. 
Respostas: a. 
Confidencialidade. 
 b. 
Disponibilidade. 
 c. 
Legalidade. 
 d. 
Legitimidade. 
 e. 
Integridade. 
Feedback da 
resposta: 
Resposta: E 
Comentário: garantir que a informação não sofra 
alterações em qualquer que seja seu estado, incluindo 
na transmissão por rede e dever do pilar integridade. 
 
 
 Pergunta 6 
0 em 0,25 pontos 
 
Nelson Roberto da Silva, gestor da área de TI, foi recentemente nomeado e promovido ao cargo 
de gerente de segurança da informação “Security Office”. É correto afirmar sobre as novas 
atribuições de Nelson: 
I- Nelson deve gerenciar, desenvolver e implementar as políticas globais de segurança, em que 
deve ser segmentado em políticas, normas e procedimentos; e promover a atualização periódica 
desses documentos. 
II- Nelson não precisa se preocupar com outra coisa a não ser com a segurança tecnológica, 
mesmo porque um dos motivos de sua nomeação foi o fato de que ele ser gestor de TI da 
empresa. 
III- Deverá promover a cultura de segurança na empresa. 
IV- Deverá gerenciar os perfis de acesso para rede, dados e softwares. 
 
Resposta Selecionada: b. 
II, III e IV estão corretas. 
Respostas: a. 
I, II e IV estão corretas. 
 b. 
II, III e IV estão corretas. 
 c. 
I e IV estão corretas. 
 d. 
I, II e III estão corretas. 
 e. 
I, II, III e IV estão corretas. 
 
 
 Pergunta 7 
0,25 em 0,25 pontos 
 
O processo de classificação da informação consiste em organizar as 
informações pelo seu grau de importância e, a partir daí, definir 
quais os níveis de proteção que cada ativo de informação requer. 
Referente à classificação da informação é correto afirmar que: 
I- Um dos objetivos da classificação da informação é para proteção 
dos ativos de informação. 
II- Um dos objetivos da classificação da informação é para 
economia, em que, após a classificação, serão aplicados recursos 
e/ou mecanismos naquilo que realmente requer proteção. 
III- A classificação da informação é imutável; sendo assim após 
classificada uma informação, nunca mais poderá ser reclassificada. 
IV- O enquadramento dos ativos de informação aos níveis 
previamente definidos é de reponsabilidade do dono proprietário 
daquele ativo de informação. 
 
Resposta Selecionada: a. 
I, II e IV estão corretas. 
Respostas: a. 
I, II e IV estão corretas. 
 
 b. 
II, III e IV estão corretas. 
 c. 
I e IV estão corretas. 
 d. 
I, II e III estão corretas. 
 e. 
I, II, III e IV estão corretas. 
Feedback 
da 
resposta: 
Resposta: A 
Comentário: a classificação da informação não é imutável, 
pelo contrário. Assim como a informação passa por um 
ciclo de vida, a classificação da informação pode mudar 
conforme a fase do ciclo de vida que ela está passando. 
Exemplo: o balanço financeiro de uma empresa passa por 
todos os níveis de classificação, quando está sendo 
levantado é confidencial, quando está sendo 
desenvolvido é interno e quando vai ser publicado se 
torna inclusive por lei público. 
 
 Pergunta 8 
0,25 em 0,25 pontos 
 
Proteções podem ser definidas como medidas que serão adotadas 
para proporcionar segurança aos ativos de informação, as 
proteções são implantadas em três aspectos, em que podemos 
destacar: 
I- No tipo de proteção física são implantados mecanismos como 
portas, fechaduras, câmeras de segurança. 
II- No tipo de proteção lógica são implantados mecanismos como 
permissões em sistemas de arquivos. 
III- No tipo de proteção administrativa são implantados mecanismos 
como política, normas e procedimentos de segurança da 
informação. 
IV- No tipo de proteção operacional são implantados mecanismos 
como padrões de configuração de segurança para estações de 
trabalho. 
 
Resposta Selecionada: d. 
I, II e III estão corretas. 
Respostas: a. 
I, II e IV estão corretas. 
 b. 
II, III e IV estão corretas. 
 
 c. 
I e IV estão corretas. 
 d. 
I, II e III estão corretas. 
 e. 
I, II, III e IV estão corretas. 
Feedback da 
resposta: 
Resposta: D 
Comentário: a implantação de mecanismos de proteção 
operacionais não faz parte do escopo da segurança da 
informação, sendo apenas os tipos de proteção lógica, 
física e administrativa. 
 
 Pergunta 9 
0,25 em 0,25 pontos 
 
Raimundo José Guimarães, responsável pela área de Segurançada 
Informação da empresa HKM – Diagnósticos, constatou, após 
analisar o risco de vazamento de informações dos exames médicos 
dos clientes da HKM, que o risco era alto com impacto devastador, 
com danos irreversíveis ao negócio. Quais estratégias seriam 
adequadas para Raimundo tratar esse risco? 
I- Ele deve estudar alternativas para evitar o risco que significa não 
expor o ativo a situações de risco. 
II- Ele poderá propor a contratação de um seguro para cobrir os 
prejuízos pela concretização de um impacto. 
III- Ele deve ter consciência de que mesmo após adotar todas as 
medidas possíveis ainda haverá risco, que em segurança da 
informação chamamos de risco residual. 
 
Resposta Selecionada: e. 
I, II e III estão corretas. 
Respostas: a. 
Apenas a afirmativa I está correta. 
 b. 
Apenas a afirmativa II está correta. 
 c. 
Apenas a afirmativa III está correta. 
 d. 
I e III estão corretas. 
 e. 
I, II e III estão corretas. 
 
Feedback da 
resposta: 
Resposta: E 
Comentário: a melhor forma de tratar o risco é 
misturando as medidas, por exemplo: transferindo e 
reduzindo. 
 
 Pergunta 10 
0,25 em 0,25 pontos 
 
Toda informação é perecível e com prazo de validade determinado, 
o que chamamos de ciclo de vida da informação, em que podemos 
afirmar que: 
I- Na fase de geração, a informação pode também ser herdada ou 
adquirida de terceiros. 
II- Na fase de descarte, não é necessária nenhuma medida de 
segurança. 
III- Na fase de transmissão, em que por algum motivo a informação 
será passada de um ponto a outro por meio de algum canal de 
comunicação. 
IV- Na fase de armazenamento, os ativos de informação que não 
estão sendo ou que já foram tratados ou transmitidos devem ser 
devidamente guardados de forma organizada para possíveis 
consultas futuras. 
 
Resposta Selecionada: d. 
I, III e IV estão corretas. 
Respostas: a. 
I, II e IV estão corretas. 
 b. 
I, II e III estão corretas. 
 c. 
I e IV estão corretas. 
 d. 
I, III e IV estão corretas. 
 e. 
II e III estão corretas. 
Feedback da 
resposta: 
Resposta: D 
Comentário: na fase de descarte, assim como em todas 
as fases, é importante a preocupação com a segurança 
da informação, certificando que o descarte adequado foi 
dado as informações.