Administração de Segurança da Informação - Exercicios

Prévia do material em texto

Administração de Segurança da Informação 
Marque a única alternativa incorreta: 
Escolha uma: 
a. Segundo a norma ISO/IEC/17799 (2001), podemos caracterizar a segurança de 
informações como a preservação da confidencialidade; integridade e da 
disponibilidade. 
b. Política de Segurança corresponde a um documento formal que define as 
diretrizes e normas em relação à segurança e aos procedimentos a serem seguidos 
por toda a empresa, sem exceção. 
c. Uma ameaça em segurança da informação representa uma ação ou condição 
capaz de causar incidentes que possam comprometer as informações e seus ativos, 
e que se consuma após identificar e explorar vulnerabilidades compatíveis. 
d. A norma RFC 2196, em linhas gerais, trata, principalmente, das Políticas de 
Segurança, da arquitetura dos planos de segurança e da proteção aos serviços. 
Além de descrever políticas e procedimentos de segurança para sites com sistemas 
na Internet. 
e. A Segurança da Informação está relacionada a proteção dos indivíduos e dos 
locais físicos onde estão os dados, no sentido de preservar o local para que possam 
ser armazenadas outras coisas, preocupando-se pouco com o valor intrínseco da 
informação. 
 
Marque a única alternativa incorreta: 
Escolha uma: 
a. O Cracker é um Indivíduo com ações mais destrutivas que um hacker, pois 
invade o sistema de segurança de um computador ou rede de computadores com o 
objetivo de roubar, destruir ou apagar informações. 
b. Hacker é, em termos gerais, alguém que gosta de explorar todos os aspectos dos 
sistemas de informática, incluindo sistemas de segurança. A palavra ‘’hacker’’ 
significa, para a maioria dos utilizadores, a pessoa que viola a segurança de 
sistemas de informática. 
c. Podemos definir a Política de Segurança como aspectos informais ligados à 
segurança de uma empresa ou entidade. 
d. As medidas de segurança são ações projetadas e operacionalizadas para 
evitar/barrar/conter “causas”, ou para minimizar/eliminar “consequências” de 
ameaças latentes ou potenciais, em face da vulnerabilidade de um bem, dentro do 
seu perímetro de proteção. 
e. A análise de riscos deve começar com a coleta de evidências e identificação das 
ameaças e vulnerabilidades dos ativos. Esta fase resulta na formação de uma ampla 
Base de Conhecimento que será fundamental para suportar as ações de diagnóstico 
e o processo de tomada de decisão. 
Considere as seguintes afirmações e julgue-as como Verdadeira ou Falsa. 
O Control Objectives for Information and Related Technology 
– COBIT (Objetivos de Controle para Informação 
e Tecnologia) foi desenvolvido pela Information System Audit 
and Control Association – ISACA, na década de 1990, e tem 
como principal objetivo tratar o fluxo de informações que 
venha contribuir para um bom planejamento estratégico, a 
distribuição de responsabilidades e o gerenciamento dos 
recursos. Assim, trata-se de um modelo de governança de TI 
que alinha os processos e recursos com os objetivos do 
negócio, a parte monetária, a qualidade e as necessidades de 
segurança. 
Resposta 1
Verdadeira
 
Em segurança da informação, uma ameaça representa uma ação 
ou condição capaz de causar incidentes que possam 
comprometer as informações e seus ativos, e que se consuma 
após identificar e explorar vulnerabilidades compatíveis. 
Resposta 2
Verdadeira
 
As falhas em sistemas podem ser classificadas como 
transientes, ocorrem apenas uma vez, mesmo se a operação for 
repetida; intermitentes, ocorrem com mais frequência, mas 
muitas vezes não são previsíveis; ou permanentes, ocorrem 
sempre. 
Resposta 3
Verdadeira
 
 
Considere as seguintes afirmações e julgue-as como Verdadeira ou Falsa. 
A análise de riscos concentra-se no estudo e na relação entre os 
ativos, nas vulnerabilidades, nas possíveis ameaças e no 
impacto que cada ameaça pode causar, caso se efetive. 
Resposta 1
Verdadeira
 
As vulnerabilidades são pontos de falhas potenciais em um 
ativo que o fragilizam, ou seja, algo que é possível de ser 
explorado por alguma ameaça e efetivar um prejuízo ou danos. 
Resposta 2
Verdadeira
 
O risco pode ser definido como a possibilidade de perda de 
determinado ativo, bem, informação, que pode ocorrer 
mediante a adoção de determinado curso de ação. Pode-se 
medir o risco em termos do valor (utilidades monetárias). O 
risco pode ser minimizado, mas dificilmente pode ser 
integralmente eliminado. 
Resposta 3
Verdadeira
 
 
Considere as seguintes afirmações e julgue-as como Verdadeira ou Falsa. 
Segundo a RFC 2196 (2000), a Política de Segurança é um 
documento que descreve as recomendações, as regras, as 
responsabilidades e as práticas de segurança vigentes na 
empresa e abrangentes a todos os funcionários, contratados e 
prestadores de serviço que utilizem os sistemas de informação, 
seus produtos ou seus dados. 
Resposta 1
Verdadeira
 
Segundo Godoy (2004), a segurança da informação pode 
funcionar no âmbito digital, mas é no movimento das 
informações até o âmbito digital (nas pessoas) que se encontra 
o elo mais fraco na corrente da segurança. A maior prova disso 
é o aumento no número de ataques de engenharia social 
(enganar pessoas para se conseguir dados sigilosos das 
empresas ou acesso privilegiado), que exploram a credulidade e 
a falta de consciência das pessoas quanto à importância da 
informação. 
Resposta 2
Verdadeira
 
A Política de Segurança da empresa deve ser definida em 
conjunto com a alta direção da empresa e deve ser válida 
somente para o nível operacional. 
Resposta 3
Falsa
 
 
Considere as seguintes afirmações e julgue-as como Verdadeira ou Falsa. 
Segundo Gil, a segurança da informação deve ser 
exercida em um nível organizacional, o “operacional”, o 
foco é na atuação dos funcionários, pois são eles os 
responsáveis pela execução da maior parte de práticas e 
procedimentos de segurança. 
Resposta 1
Verdadeira
 
“As empresas podem gastar milhões de dólares em 
proteções tecnológicas, mas isso será um desperdício se 
as pessoas puderem simplesmente ligar para alguém e 
convencê-lo a fazer algo que baixe as defesas do 
computador ou que revele as informações que estão 
buscando.” Schneier, 2001. 
Resposta 2
Verdadeira
 
Para que uma empresa entenda que o nível de segurança 
alcançado é fruto da responsabilidade compartilhada dos 
funcionários, é preciso antes construir uma cultura de 
segurança. Isso pode ser feito por meio de campanhas de 
divulgação, seminários, cursos de capacitação, ou até 
mediante comunicado oficial do Presidente, 
oficializando o interesse da empresa na questão e 
salientando a importância do envolvimento de todos no 
processo. 
Resposta 3
Verdadeira
 
 
Considere as seguintes afirmações e julgue-as como Verdadeira ou Falsa. 
A decisão sobre qual medida implementar para garantir a 
continuidade dos negócios não deve variar de acordo com a 
intensidade e o risco da ameaça, mas deve sempre envolver a 
participação e/ou aprovação do departamento jurídico e da alta 
direção da empresa. 
Resposta 1
Falsa
 
A Segurança de Perímetro (ou Perímetro de Proteção) 
corresponde a um ambiente ou uma linha imaginária, física ou 
lógica, em que a ameaça pode ocorrer. O conceito de perímetro 
Resposta 2
Verdadeira
 
teve origem nas estratégias militares de defesa e há muito 
tempo é utilizado pela área de segurança patrimonial. 
Segundo Gil (1998), a segurança física refere-se à manutenção 
das condições operacionais e de integridade dos recursos 
materiais usados no ambiente de informática. 
Resposta 3
Verdadeira
 
 
Considere as seguintes afirmações e julgue-as como Verdadeira ou Falsa. 
Análise de Impacto nos Negócios (Business Impact Analysis) 
corresponde a uma análise em cada processo da empresa, a fim 
de determinar qual seria o seu valor de custo para a 
organização caso este sofresse uma parada devido a um 
problema qualquer, ou seja, qual o impacto para a empresa seo 
processo analisado fosse interrompido. 
Resposta 1
Verdadeira
 
A segurança de equipamentos fora da empresa, 
independentemente da sua propriedade, ou uso de qualquer 
equipamento fora das instalações físicas da organização para 
processamento de informações. A segurança fornecida deve ser 
diferente daquela utilizada para os equipamentos de dentro da 
empresa. 
Resposta 2
Falsa
 
Os elementos específicos de segurança física correspondem aos 
meios pelos quais um objeto ou uma área possa ter sua 
condição de segurança melhorada devido à presença desse 
dispositivo de segurança. 
Resposta 3
Verdadeira