Baixe o app para aproveitar ainda mais
Prévia do material em texto
POLÍTICAS DE SEGURANÇA E CLAS. DA INFORMAÇÃO 1) Marque a única opção correta em relação à Segurança da Informação. a) Classificamos as informações para priorizar seu nível hierárquico dentro da organização. b) Não precisamos controlar o acesso de terceirizados pois eles trabalham em suas empresas de origem. c) Ter políticas de segurança definidas faz com que uma empresa fique imune a fraudes. d) Uma das principais medidas que as empresas adotam para mitigar riscos é adotar boas práticas de gerenciamento, começando com as políticas de Segurança de Informação. e) Todas as pessoas ligadas à empresa devem seguir as políticas de segurança da mesma exceto os stakeholders. Respostas: 1 – classificamos as informações para priorizar seus riscos; 2 – precisamos controlar acesso de todas as pessoas em termos de circulação pelas áreas da empresa. Os terceirizados inclusive, pois eles circulam em áreas da empresa; 3 – as políticas de segurança ajudam a empresa a mitigar riscos mas não os eliminam nem o evitam. Dificultam sua ocorrência; 4 – opção correta; 5 – Os stakeholders , que são as pessoas que têm algo a ver com os projetos e a empresa, também devem obedecer às politicas de segurança da empresa. 2) É exemplo de acesso lógico: a) Informar login e senha de acesso. b) Ter um guarda para controlar entrada de pessoas na diretoria. c) Passar crachá com tarja magnética na catraca de entrada do prédio. d) Informar digital para marcar ponto de entrada e saída no trabalho. e) Usar câmera de vigilância na sala do CPD. Respostas: Todas as opções referem-se a controle físico exceto a letra a. Acesso lógico controla acesso a arquivos da empresa. Acesso físico controla entradas e saídas de locais na empresa. 3) A assinatura digital é feita: a) Por quem recebe a mensagem, usando sua chave privada para decodificar a mensagem. b) Por quem envia a mensagem, usando sua chave pública para codificação da mensagem. c) Através de um par de chaves síncronas. d) Com o uso de biometria. e) Através de codificação da mensagem com a chave privada do emissor. Respostas: A assinatura digital assegura que quem enviou a mensagem é quem diz ser. Isso fica assegurado com a codificação da mensagem usando a chave privada do autor da mensagem (o emissor), pois somente ele possui sua chave privada. A biometria não assina digitalmente um texto, ela autentica a presença física da pessoa. 4) O acordo de Basileia II: I – estipula requisitos de capital mínimo para instituições financeiras em função de seus riscos de crédito e de negócios; II – estipula requisitos para mitigar riscos financeiros em instituições públicas e privadas; III – impacta, do ponto de vista de risco de crédito, sobre a integridade das informações acerca das transações do banco. São verdadeiras as sentenças: a) III c) I e II e) II e III b) II d) I e III Respostas: I - estipula requisitos de capital mínimo para instituições financeiras em função de seus riscos de crédito e operacionais. Sentença falsa. II - Estabelece regras para os bancos centrais de cada país executar auditorias nas instituições financeiras, para avaliar os riscos e mitigá-los. III – Está correta a sentença. 5) Com referência ao COBIT versão 5.0, assinale a opção correta: a) O COBIT 5 possui 5 habilitadores e 7 princípios. b) As necessidades das partes interessadas são desdobradas em objetivos de TI. c) Os 17 objetivos corporativos são repetidos como 17 objetivos da TI, na dimensão BSC de TI. d) Os três principais objetivos da governança são: realização de benefícios, otimização do risco e otimização de recursos. e) As práticas de TI não são consideradas habilitadores. Respostas: 1 – É o contrário, o COBIT 5 possui 5 princípios e 7 habilitadores. 2 – As necessidades das partes interessadas são desdobradas em objetivos corporativos. 3 – Não, os objetivos são distintos conforme podemos ver nas figuras 5 e 6. 4 – Opção correta. 5 - Habilitadores são geralmente definidos como qualquer coisa que possa ajudar a atingir os objetivos corporativos, incluindo as práticas. 6) O COBIT 5 pode ser considerado um modelo unificado para governança e gestão de TI por que: a) Abrange todas as filiais da organização. b) Ele possui práticas para TI e não TI. c) Ele cobre as atividades de toda a organização, incluindo terceirizadas. d) Ele abrange atividades de todas as pessoas da organização. e) Ele está alinhado com muitos padrões e modelos conhecidos e importantes, em um alto nível. Respostas: Há muitas normas e boas práticas relacionadas a TI, cada qual provê orientações para um conjunto específico de atividades de TI. O COBIT 5 se alinha a outros padrões e modelos importantes em um alto nível e, portanto, pode servir como o um modelo unificado para a governança e a gestão de TI da organização. 7) O código de lançamento de um míssil é uma informação classificada como: a) Restrita c) Interna e) Privada b) Confidencial d) Secreta Respostas: O código de lançamento de um míssil é uma informação mais do que restrita, confidencial e interna. Ela é classificada como secreta, pois é uma informação militar e apenas duas ou três pessoas a possuem. Normalmente, usamos um duplo controle: duas chaves, uma de posse de cada pessoa, que devem ser inseridas em local apropriado para obtenção do código inteiro. 8) Identifique qual o texto que representa uma boa política de segurança. a) Os funcionários deverão portar crachá com foto quando dentro das dependências da empresa. b) Funcionários, a partir do segundo nível gerencial, não podem viajar no mesmo veículo que seu chefe imediato. c) Nenhum funcionário deve viajar de avião junto a seu chefe. d) Os funcionários terceirizados devem ter crachá de cor azul. e) Todo funcionário deverá portar crachá com foto recente ao circular dentro da empresa durante o horário de expediente. Respostas: As políticas devem ter um texto simples e claro. Opção a: Nesse texto, entendemos que os funcionários devem portar crachá com foto. E se for instituída uma nova forma de identificação? E se o funcionário esquecer seu crachá em casa? Não entra na empresa? E as demais pessoas... não precisam de identificação para circular pela empresa? Há várias brechas para fraude nesse contexto. Opção b: O texto diz claramente que a partir do segundo nível gerencial, as pessoas não podem viajar com seus chefes em nenhum tipo de veículo. Isso se deve ao fato de que se houver algum acidente, a empresa continuará seu trabalho sem perda de comando. Texto adequado para ser uma política de segurança. Opção c: Texto muito simplista. Não podem viajar de avião mas podem viajar por meio de outro transporte. O texto está incompleto pois não inclui acidentes de carros, por exemplo. Opção d: Hoje, alguém escolheu a cor azul para terceirizados. E se a cor for mudada? Vamos alterar a política também? Texto inadequado. Detalhes como cores devem ser incluídos nos procedimentos das políticas. Opção e: Há vários senões nesse texto: a política só serve para funcionários? E as visitas, os fornecedores etc... Ele fala em foto recente. O que é “recente”? Como controlar isso? O texto fala em horário de expediente. Isso significa que fora do horário de expediente a pessoa não necessita de identificação. Muitas brechas para fraudes! Texto inadequado. 9) Identifique a opção INVÁLIDA: Cabe ao comitê diretor de TI definir, revisar e aprovar: a) Trocas significativas de hardware. b) Prioridade de projetos. c) Cobertura de seguros. d) Definição de aplicativos desenvolvidos em casa ou adquiridos externamente. e) Casos de teste dos sistemas a serem implementados. Respostas: Todas as opções são verdadeiras exceto a letra e. Os casos de teste de um sistemas são determinados em tempo de definição dos requisitos do sistema, tarefa que será realizadapelo gerente do projeto, seu assessor sênior e, eventualmente, o cliente. 10) As sentenças abaixo dizem respeito a riscos de um data center. Identifique a opção INCORRETA: a) A biblioteca do data center deve estar alocada dentro da sala do computador para agilizar obtenção dos recursos. b) A localização do data center não deverá ser publicamente divulgada. c) A localização do data center deverá ser nos andares mais altos do prédio. d) As dependências do data center não devem ter janelas para a rua. e) As mídias que entram e saem da biblioteca devem ser logadas e assinadas, tanto na entrada como na saída. Respostas: Lembre-se: a sala do computador deve ser separada da biblioteca do data center sendo as paredes de material não combustível. 11) Sobre políticas de Segurança da Informação podemos afirmar: I - Não podemos nos fiar apenas em software e hardware para assegurar a segurança de uma organização. II - Em termos institucionais é importante que cada departamento possua um responsável pela segurança de sistemas em seus aspectos gerais. III - Uma Política de Segurança cobre os colaboradores da empresa e seus sistemas. Identifique qual das opções abaixo representam sentenças verdadeiras. a) I c) III e) II e III b) II d) I e II Respostas: I – Opção verdadeira. A consciência do colaborador determina a boa aplicação das políticas de Segurança para manter a integridade e a disponibilidade das informações. II – Opção falsa. Em termos institucionais é importante que a organização possua um responsável pela segurança de sistemas em seus aspectos gerais (e não cada departamento). III – Opção falsa. Uma Política de Segurança pode cobrir colaboradores, fornecedores, clientes, visitas ou quaisquer stakeholders e demais recursos da empresa. 12) Identifique a única afirmativa verdadeira. a) A gerência dos serviços de segurança é responsável pela segurança institucional, englobando todos os aspectos de Segurança de Sistemas. b) Dentre outros objetivos em mente, um gerente de segurança deve impedir que aqueles que conseguirem acesso, autorizado ou não, danifiquem ou adulterem qualquer dado ou equipamento. c) Ao detectarmos uma violação à política, a primeira coisa a ser feita é fazer uma advertência verbal ao infrator. d) Uma vez que um usuário foi identificado e autenticado ele poderá acessar qualquer informação ou aplicativo sem qualquer restrição. e) O usuário, como elo final da ponta de segurança, deve definir as políticas de segurança referentes ao seu trabalho. Respostas: Opção 1: Falsa. Quem é responsável pela segurança institucional, englobando todos os aspectos de segurança de sistemas, é a gerência de segurança de sistemas. Opção 2: Verdadeira. Opção 3: Falsa. Ao detectarmos uma violação à política, a primeira coisa a ser feita é identificar o motivo de tal violação. Opção 4: Falsa. Não basta um usuário ter sido identificado e autenticado em um sistema. Seu acesso para leitura e/ou gravação deverá ser específico para definidas funções de determinados sistemas (podendo ser para todas, como no caso de acesso máster). Opção 5: Falsa. O usuário deve obedecer às políticas de segurança estabelecidas para ele. 13) Identifique a única resposta correta para um plano de emergência. a) Ele deve ser ativado tão logo seja aprovado. b) Ele provê a capacidade de restauração permanente das atividades do CPD. c) Ele define como será feita a atualização da biblioteca externa. d) No plano de emergência, constam os nomes das pessoas que executarão as atividades nele identificadas. e) No plano de emergência, assinamos acordos com parceiros para serem acionados em caso de contingência. Respostas: Opção 1: Incorreta. O plano de emergência deve ser ativado tão logo seja declarada a situação de emergência por algum gerente ou superior. Opção 2: Incorreta. Quem provê a capacidade de restauração permanente das atividades do CPD é o plano de recuperação. Opção 3: Incorreta. A biblioteca externa tem seus parâmetros definidos no plano de back- up. Opção 4: Correta. No plano de emergência constam os nomes e os telefones (de casa e do trabalho) das pessoas que executarão as atividades nele identificadas, bem como de fornecedores. Opção 5: Incorreta. Esses acordos são definidos e feitos em tempo do plano de back-up. 14) Definimos quais riscos serão tratados no plano de emergência conforme: a) Sua vulnerabilidade e sua frequência. b) Seja mantida ou não a integridade dos dados dos sistemas. c) Seu impacto e sua probabilidade de ocorrência. d) O impacto que será causado na empresa. e) Seja mantida ou não a integridade e a confidencialidade das informações. Respostas: Para elaborarmos um plano de emergência necessitamos ter os riscos identificados conforme sua probabilidade de ocorrência e seu impacto na empresa e na sociedade. Essas duas variáveis são combinadas na matriz de risco e assim podemos ter o escore de risco. Elaboramos um plano de emergência para serviços e áreas críticas, com maior escore de risco. 15) Marque a opção correta: A segregação de funções deve ser observada a fim de: a) Criar a possibilidade de identificação de fraudes. d) Identificar fraudes. b) Dificultar as possibilidades de fraude. e) Rastrear intenção de fraudes. c) Eliminar as possibilidades de fraude. Respostas: Nós podemos dificultar que uma fraude ou uma ameaça ocorra mas não eliminá- la. Os malfeitores sempre encontrarão um jeito de burlar os controles. Com a segregação de funções dificultamos que a fraude ocorra. 16) Identifique a única afirmativa correta em relação a controles internos. a) Podemos ter controles internos como embutidos nos sistemas a fim de assegurarem a integridade das informações. b) Um exemplo de controle interno é a matricula de um funcionário. c) Os controles internos afetam a funcionalidade do sistema. Por essa razão, devemos usá-los com parcimônia. d) O usuário informa quais controles internos ele gostaria que estivessem presentes em seus sistemas. e) Os controles internos são apenas automáticos, isto é, contidos em sistemas computadorizados. Respostas: Opção 1: Correto. Temos controles internos representados por campos dentro do sistema que objetivam assegurar a integridade das informações, a exemplo de hash totals. Opção 2: A matrícula de um funcionário não é um controle interno e sim um campo que poderá ser utilizado como campo chave do arquivo. Afirmativa incorreta. Opção 3: Os controles internos não afetam a funcionalidade dos sistemas. Ex.: dígitos verificadores. Afirmativa incorreta. Opção 4: Nem sempre os usuários entendem o que venha a ser um controle interno. Quem os define é o gerente do projeto baseado na metodologia de desenvolvimento, políticas de segurança, experiência na função. Afirmativa incorreta. Opção 5: Podemos ter controles internos em forma de rotinas como, por exemplo, a preparação de lotes a serem processados. Afirmativa incorreta.
Compartilhar