POLÍTICAS DE SEGURANÇA E CLAS - Exercícios - Pós Graduação

Prévia do material em texto

POLÍTICAS DE SEGURANÇA E CLAS. DA INFORMAÇÃO 
 
1) Marque a única opção correta em relação à Segurança da Informação. 
a) Classificamos as informações para priorizar seu nível hierárquico dentro da organização. 
b) Não precisamos controlar o acesso de terceirizados pois eles trabalham em suas empresas 
de origem. 
c) Ter políticas de segurança definidas faz com que uma empresa fique imune a fraudes. 
d) Uma das principais medidas que as empresas adotam para mitigar riscos é adotar boas 
práticas de gerenciamento, começando com as políticas de Segurança de Informação. 
e) Todas as pessoas ligadas à empresa devem seguir as políticas de segurança da mesma 
exceto os stakeholders. 
Respostas: 1 – classificamos as informações para priorizar seus riscos; 
2 – precisamos controlar acesso de todas as pessoas em termos de circulação pelas áreas da 
empresa. Os terceirizados inclusive, pois eles circulam em áreas da empresa; 
3 – as políticas de segurança ajudam a empresa a mitigar riscos mas não os eliminam nem o 
evitam. Dificultam sua ocorrência; 
4 – opção correta; 
5 – Os stakeholders , que são as pessoas que têm algo a ver com os projetos e a empresa, 
também devem obedecer às politicas de segurança da empresa. 
 
2) É exemplo de acesso lógico: 
a) Informar login e senha de acesso. 
b) Ter um guarda para controlar entrada de pessoas na diretoria. 
c) Passar crachá com tarja magnética na catraca de entrada do prédio. 
d) Informar digital para marcar ponto de entrada e saída no trabalho. 
e) Usar câmera de vigilância na sala do CPD. 
Respostas: Todas as opções referem-se a controle físico exceto a letra a. Acesso lógico 
controla acesso a arquivos da empresa. Acesso físico controla entradas e saídas de locais na 
empresa. 
 
3) A assinatura digital é feita: 
a) Por quem recebe a mensagem, usando sua chave privada para decodificar a mensagem. 
b) Por quem envia a mensagem, usando sua chave pública para codificação da mensagem. 
c) Através de um par de chaves síncronas. 
d) Com o uso de biometria. 
e) Através de codificação da mensagem com a chave privada do emissor. 
Respostas: A assinatura digital assegura que quem enviou a mensagem é quem diz ser. Isso 
fica assegurado com a codificação da mensagem usando a chave privada do autor da 
mensagem (o emissor), pois somente ele possui sua chave privada. A biometria não assina 
digitalmente um texto, ela autentica a presença física da pessoa. 
 
4) O acordo de Basileia II: 
I – estipula requisitos de capital mínimo para instituições financeiras em função de seus riscos 
de crédito e de negócios; 
II – estipula requisitos para mitigar riscos financeiros em instituições públicas e privadas; 
III – impacta, do ponto de vista de risco de crédito, sobre a integridade das informações acerca 
das transações do banco. 
São verdadeiras as sentenças: 
a) III c) I e II e) II e III 
b) II d) I e III 
Respostas: I - estipula requisitos de capital mínimo para instituições financeiras em função 
de seus riscos de crédito e operacionais. Sentença falsa. 
II - Estabelece regras para os bancos centrais de cada país executar auditorias nas 
instituições financeiras, para avaliar os riscos e mitigá-los. 
III – Está correta a sentença. 
 
5) Com referência ao COBIT versão 5.0, assinale a opção correta: 
a) O COBIT 5 possui 5 habilitadores e 7 princípios. 
b) As necessidades das partes interessadas são desdobradas em objetivos de TI. 
c) Os 17 objetivos corporativos são repetidos como 17 objetivos da TI, na dimensão BSC de TI. 
d) Os três principais objetivos da governança são: realização de benefícios, otimização do 
risco e otimização de recursos. 
e) As práticas de TI não são consideradas habilitadores. 
Respostas: 1 – É o contrário, o COBIT 5 possui 5 princípios e 7 habilitadores. 
2 – As necessidades das partes interessadas são desdobradas em objetivos corporativos. 
3 – Não, os objetivos são distintos conforme podemos ver nas figuras 5 e 6. 
4 – Opção correta. 
5 - Habilitadores são geralmente definidos como qualquer coisa que possa ajudar a atingir os 
objetivos corporativos, incluindo as práticas. 
 
6) O COBIT 5 pode ser considerado um modelo unificado para governança e gestão de TI por 
que: 
a) Abrange todas as filiais da organização. 
b) Ele possui práticas para TI e não TI. 
c) Ele cobre as atividades de toda a organização, incluindo terceirizadas. 
d) Ele abrange atividades de todas as pessoas da organização. 
e) Ele está alinhado com muitos padrões e modelos conhecidos e importantes, em um alto 
nível. 
Respostas: Há muitas normas e boas práticas relacionadas a TI, cada qual provê orientações 
para um conjunto específico de atividades de TI. O COBIT 5 se alinha a outros padrões e 
modelos importantes em um alto nível e, portanto, pode servir como o um modelo unificado 
para a governança e a gestão de TI da organização. 
 
7) O código de lançamento de um míssil é uma informação classificada como: 
a) Restrita c) Interna e) Privada 
b) Confidencial d) Secreta 
Respostas: O código de lançamento de um míssil é uma informação mais do que restrita, 
confidencial e interna. Ela é classificada como secreta, pois é uma informação militar e 
apenas duas ou três pessoas a possuem. Normalmente, usamos um duplo controle: duas 
chaves, uma de posse de cada pessoa, que devem ser inseridas em local apropriado para 
obtenção do código inteiro. 
 
8) Identifique qual o texto que representa uma boa política de segurança. 
a) Os funcionários deverão portar crachá com foto quando dentro das dependências da 
empresa. 
b) Funcionários, a partir do segundo nível gerencial, não podem viajar no mesmo veículo que 
seu chefe imediato. 
c) Nenhum funcionário deve viajar de avião junto a seu chefe. 
d) Os funcionários terceirizados devem ter crachá de cor azul. 
e) Todo funcionário deverá portar crachá com foto recente ao circular dentro da empresa 
durante o horário de expediente. 
Respostas: As políticas devem ter um texto simples e claro. 
 
Opção a: Nesse texto, entendemos que os funcionários devem portar crachá com foto. E se 
for instituída uma nova forma de identificação? E se o funcionário esquecer seu crachá em 
casa? Não entra na empresa? E as demais pessoas... não precisam de identificação para 
circular pela empresa? Há várias brechas para fraude nesse contexto. 
 
Opção b: O texto diz claramente que a partir do segundo nível gerencial, as pessoas não 
podem viajar com seus chefes em nenhum tipo de veículo. Isso se deve ao fato de que se 
houver algum acidente, a empresa continuará seu trabalho sem perda de comando. Texto 
adequado para ser uma política de segurança. 
 
Opção c: Texto muito simplista. Não podem viajar de avião mas podem viajar por meio de 
outro transporte. O texto está incompleto pois não inclui acidentes de carros, por exemplo. 
 
Opção d: Hoje, alguém escolheu a cor azul para terceirizados. E se a cor for mudada? Vamos 
alterar a política também? Texto inadequado. Detalhes como cores devem ser incluídos nos 
procedimentos das políticas. 
 
Opção e: Há vários senões nesse texto: a política só serve para funcionários? E as visitas, os 
fornecedores etc... Ele fala em foto recente. O que é “recente”? Como controlar isso? O texto 
fala em horário de expediente. Isso significa que fora do horário de expediente a pessoa não 
necessita de identificação. Muitas brechas para fraudes! Texto inadequado. 
 
9) Identifique a opção INVÁLIDA: Cabe ao comitê diretor de TI definir, revisar e aprovar: 
a) Trocas significativas de hardware. 
b) Prioridade de projetos. 
c) Cobertura de seguros. 
d) Definição de aplicativos desenvolvidos em casa ou adquiridos externamente. 
e) Casos de teste dos sistemas a serem implementados. 
Respostas: Todas as opções são verdadeiras exceto a letra e. Os casos de teste de um 
sistemas são determinados em tempo de definição dos requisitos do sistema, tarefa que será 
realizadapelo gerente do projeto, seu assessor sênior e, eventualmente, o cliente. 
 
10) As sentenças abaixo dizem respeito a riscos de um data center. Identifique a opção 
INCORRETA: 
a) A biblioteca do data center deve estar alocada dentro da sala do computador para agilizar 
obtenção dos recursos. 
b) A localização do data center não deverá ser publicamente divulgada. 
c) A localização do data center deverá ser nos andares mais altos do prédio. 
d) As dependências do data center não devem ter janelas para a rua. 
e) As mídias que entram e saem da biblioteca devem ser logadas e assinadas, tanto na entrada 
como na saída. 
Respostas: Lembre-se: a sala do computador deve ser separada da biblioteca do data 
center sendo as paredes de material não combustível. 
 
11) Sobre políticas de Segurança da Informação podemos afirmar: 
I - Não podemos nos fiar apenas em software e hardware para assegurar a segurança de uma 
organização. 
II - Em termos institucionais é importante que cada departamento possua um responsável pela 
segurança de sistemas em seus aspectos gerais. 
III - Uma Política de Segurança cobre os colaboradores da empresa e seus sistemas. 
Identifique qual das opções abaixo representam sentenças verdadeiras. 
a) I c) III e) II e III 
b) II d) I e II 
Respostas: I – Opção verdadeira. A consciência do colaborador determina a boa aplicação 
das políticas de Segurança para manter a integridade e a disponibilidade das informações. 
 
II – Opção falsa. Em termos institucionais é importante que a organização possua um 
responsável pela segurança de sistemas em seus aspectos gerais (e não cada departamento). 
 
III – Opção falsa. Uma Política de Segurança pode cobrir colaboradores, fornecedores, 
clientes, visitas ou quaisquer stakeholders e demais recursos da empresa. 
 
12) Identifique a única afirmativa verdadeira. 
a) A gerência dos serviços de segurança é responsável pela segurança institucional, 
englobando todos os aspectos de Segurança de Sistemas. 
b) Dentre outros objetivos em mente, um gerente de segurança deve impedir que aqueles 
que conseguirem acesso, autorizado ou não, danifiquem ou adulterem qualquer dado ou 
equipamento. 
c) Ao detectarmos uma violação à política, a primeira coisa a ser feita é fazer uma advertência 
verbal ao infrator. 
d) Uma vez que um usuário foi identificado e autenticado ele poderá acessar qualquer 
informação ou aplicativo sem qualquer restrição. 
e) O usuário, como elo final da ponta de segurança, deve definir as políticas de segurança 
referentes ao seu trabalho. 
Respostas: Opção 1: Falsa. Quem é responsável pela segurança institucional, englobando 
todos os aspectos de segurança de sistemas, é a gerência de segurança de sistemas. 
 
Opção 2: Verdadeira. 
 
Opção 3: Falsa. Ao detectarmos uma violação à política, a primeira coisa a ser feita é 
identificar o motivo de tal violação. 
 
Opção 4: Falsa. Não basta um usuário ter sido identificado e autenticado em um sistema. Seu 
acesso para leitura e/ou gravação deverá ser específico para definidas funções de 
determinados sistemas (podendo ser para todas, como no caso de acesso máster). 
 
Opção 5: Falsa. O usuário deve obedecer às políticas de segurança estabelecidas para ele. 
 
13) Identifique a única resposta correta para um plano de emergência. 
a) Ele deve ser ativado tão logo seja aprovado. 
b) Ele provê a capacidade de restauração permanente das atividades do CPD. 
c) Ele define como será feita a atualização da biblioteca externa. 
d) No plano de emergência, constam os nomes das pessoas que executarão as atividades 
nele identificadas. 
e) No plano de emergência, assinamos acordos com parceiros para serem acionados em caso 
de contingência. 
Respostas: Opção 1: Incorreta. O plano de emergência deve ser ativado tão logo seja 
declarada a situação de emergência por algum gerente ou superior. 
Opção 2: Incorreta. Quem provê a capacidade de restauração permanente das atividades do 
CPD é o plano de recuperação. 
Opção 3: Incorreta. A biblioteca externa tem seus parâmetros definidos no plano de back-
up. 
Opção 4: Correta. No plano de emergência constam os nomes e os telefones (de casa e do 
trabalho) das pessoas que executarão as atividades nele identificadas, bem como de 
fornecedores. 
Opção 5: Incorreta. Esses acordos são definidos e feitos em tempo do plano de back-up. 
 
14) Definimos quais riscos serão tratados no plano de emergência conforme: 
a) Sua vulnerabilidade e sua frequência. 
b) Seja mantida ou não a integridade dos dados dos sistemas. 
c) Seu impacto e sua probabilidade de ocorrência. 
d) O impacto que será causado na empresa. 
e) Seja mantida ou não a integridade e a confidencialidade das informações. 
Respostas: Para elaborarmos um plano de emergência necessitamos ter os riscos 
identificados conforme sua probabilidade de ocorrência e seu impacto na empresa e na 
sociedade. Essas duas variáveis são combinadas na matriz de risco e assim podemos ter 
o escore de risco. Elaboramos um plano de emergência para serviços e áreas críticas, com 
maior escore de risco. 
 
15) Marque a opção correta: A segregação de funções deve ser observada a fim de: 
a) Criar a possibilidade de identificação de fraudes. d) Identificar fraudes. 
b) Dificultar as possibilidades de fraude. e) Rastrear intenção de fraudes. 
c) Eliminar as possibilidades de fraude. 
Respostas: Nós podemos dificultar que uma fraude ou uma ameaça ocorra mas não eliminá-
la. Os malfeitores sempre encontrarão um jeito de burlar os controles. Com a segregação de 
funções dificultamos que a fraude ocorra. 
 
16) Identifique a única afirmativa correta em relação a controles internos. 
a) Podemos ter controles internos como embutidos nos sistemas a fim de assegurarem a 
integridade das informações. 
b) Um exemplo de controle interno é a matricula de um funcionário. 
c) Os controles internos afetam a funcionalidade do sistema. Por essa razão, devemos usá-los 
com parcimônia. 
d) O usuário informa quais controles internos ele gostaria que estivessem presentes em seus 
sistemas. 
e) Os controles internos são apenas automáticos, isto é, contidos em sistemas 
computadorizados. 
Respostas: Opção 1: Correto. Temos controles internos representados por campos dentro do 
sistema que objetivam assegurar a integridade das informações, a exemplo de hash totals. 
 
Opção 2: A matrícula de um funcionário não é um controle interno e sim um campo que 
poderá ser utilizado como campo chave do arquivo. Afirmativa incorreta. 
 
Opção 3: Os controles internos não afetam a funcionalidade dos sistemas. Ex.: dígitos 
verificadores. Afirmativa incorreta. 
 
Opção 4: Nem sempre os usuários entendem o que venha a ser um controle interno. Quem os 
define é o gerente do projeto baseado na metodologia de desenvolvimento, políticas de 
segurança, experiência na função. Afirmativa incorreta. 
 
Opção 5: Podemos ter controles internos em forma de rotinas como, por exemplo, a 
preparação de lotes a serem processados. Afirmativa incorreta.