Teste de conhecimentos - Introdução a Segurança da Informação

Prévia do material em texto

Prezado (a) Aluno(a),
Você fará agora seu TESTE DE CONHECIMENTO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha.
Após responde cada questão, você terá acesso ao gabarito comentado e/ou à explicação da mesma. Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS.
	 
		
	
		1.
		Assinale a assertiva que representa um dos benefícios para a adoção da norma ABNT NBR ISO/IEC 27001:2013 por uma organização
	
	
	
	Oportunidade de identificar eliminar fraquezas 
	
	
	Mecanismo para eliminar o sucesso do sistema
	
	
	Fornece insegurança a todas as partes interessadas
	
	
	Não participação da gerência na Segurança da Informação
	
	
	Isola recursos com outros sistemas de gerenciamento
	
Explicação:
.
	
	
	 
		
	
		2.
		Medidas adotadas relacionadas à senha na BIOS são consideradas como medidas de:
	
	
	
	Segurança Virtual
	
	
	Segurança Física
	
	
	Segurança da informação
	
	
	Segurança Cibernética
	
	
	Segurança Lógica
	
Explicação:
Como pode ser observado no Módulo 2 do Tema 1, às medidas baseada em hardware, como a BIOS, são consideradas Segurança Física.
	
	
	 
		
	
		3.
		A alteração dos dados por pessoa/software/processo não autorizado em um data center, por exemplo, pode ser considerada uma ameaça da:
	
	
	
	Confidencialidade
	
	
	Integridade
	
	
	Lealdade
	
	
	Autenticidade
	
	
	Disponibilidade
	
Explicação:
Como pode ser observado no Módulo 1 do Tema 2 a alteração dos dados por pessoa/software/processo é um aspecto de ameaça ligado
	
	
	 
		
	
		4.
		Sobre os conceitos inerentes à norma ISO/IEC 27001, analise as assertivas abaixo.
 
I. Um processo definido para validar, implementar, manter e gerenciar a segurança da informação.
II. Uma metodologia estruturada reconhecida internacionalmente dedicada à segurança da informação.
III. Uma metodologia de avaliação de equipamento.
IV. Desenvolvido pelas empresas para as empresas.
Pode-se dizer que estão corretas somente:
	
	
	
	III
	
	
	I, II e III
	
	
	I, II e IV
	
	
	II e IV
	
	
	I e IV
	
Explicação:
A ISO/IEC 27001 é a norma que define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI),sendo a principal norma que uma organização deve utilizar como base para obter a certificação empresarial em gestão da segurança da informação. 
Neste contexto não é considerada como uma metodoloigia de avaliação de equipamentos.
	
	
	 
		
	
		5.
		Qual norma técnica possui o seguinte título: ¿Tecnologia da informação ¿ Técnicas de segurança ¿ Sistemas de gestão da segurança da informação ¿ Requisitos¿?
	
	
	
	ABNT NBR ISO/IEC 20000-1:2011
	
	
	ABNT NBR ISO 9001:2008
	
	
	ABNT NBR ISO 14001:2004
	
	
	ABNT NBR ISO/IEC 27002:2013
	
	
	ABNT NBR ISO/IEC 27001:2013
	
Explicação:
Questão enviada pela EAD para inserção.
	
	
	 
		
	
		6.
		"O acesso é atribuído pelo administrador do sistema e é estritamente baseado na função do sujeito dentro da família ou organização e a maioria dos privilégios se baseia nas limitações definidas pelas responsabilidades do trabalho". Selecione a opção que corresponde a esse tipo de controle de acesso:
	
	
	
	Controle de acesso total (TAC).
	
	
	Controle baseado em papéis (RBAC).
	
	
	Controle de acesso segregado (SAC).
	
	
	Controle de acesso discricionário (DAC).
	
	
	Controle de acesso obrigatório (MAC).
	
Explicação:
Questão enviada pela EAD para inserção.
	
	
	 
		
	
		7.
		Um funcionário de uma empresa concluiu que existe uma probabilidade de 67% de sobrecarga e problemas no serviço de distribuição de conteúdo de vídeo em um eventual aumento na demanda do servidor. Dentro da GR, essa conclusão pode ser obtida na etapa de:
	
	
	
	Processo de avaliação de riscos
	
	
	Monitoramento e controle de riscos
	
	
	Aceitação do risco (residual)
	
	
	Terminação de riscos
	
	
	Definição do contexto
	
Explicação:
Questão enviada pela EAD para inserir direto no sistema.
	
	
	 
		
	
		8.
		Houve um superaquecimento em um roteador, que, por isso, parou de funcionar. O plano de tratamento para esse caso, definido como risco alto, será colocado em prática imediatamente, porque esse risco é considerado:
	
	
	
	Prioritário
	
	
	Não identificado
	
	
	Resolvido
	
	
	Informalmente identificado
	
	
	Residual
	
Explicação:
.
	
	
	 
		
	
		9.
		O Plano de Continuidade de Negócios (PCN), determinado pela norma ABNT NBR 15999 Parte 1, visa contemplar importantes aspectos, dentre os quais observamos subsequentemente:
I. O Plano de Continuidade de Negócios (PCN) descreve como a empresa deve atuar diante da identificação das ameaças e dos impactos nas operações a fim de garantir a preservação do negócio.
II. O Plano de Continuidade de Negócios (PCN) visa maximizar os problemas advindos das interrupções nas atividades de negócios e proteger os processos críticos dos defeitos de grandes falhas ou desastres.
III. O Plano de Continuidade de Negócios (PCN) tem como objetivo estabelecer as diretrizes e as responsabilidades a serem observadas no Sistema de Gestão de Continuidade de Negócios.
IV. O Plano de Continuidade de Negócios (PCN) visa especificar as ameaças e riscos identificados na organização e analisar os impactos no negócio, caso eles se concretizem.
 
Após a leitura, analise as asserções acima e, a seguir, assinale a alternativa correta:
	
	
	
	Somente as asserções I, II e IV estão corretas;
	
	
	Somente as asserções I, III e IV estão corretas
	
	
	Somente as asserções III e IV estão corretas.
	
	
	Somente as asserções I, II e III estão corretas;
	
	
	Somente as asserções II e IV estão corretas;
	
Explicação:
O Plano de Continuidade de Negócios (PCN) é o processo de gestão da capacidade de uma organização de conseguir manter um nível de funcionamento adequado até o retorno à situação normal, após a ocorrência de incidentes e interrupções de negócios críticos. O PCN deve ser desenvolvido preventivamente a partir de um conjunto de estratégias e planos táticos capazes de permitir o planejamento e a garantia dos serviços essenciais, devidamente identificados e preservados. Este processo orienta e define como e quais ações devem ser executadas para que se construa uma resiliência organizacional1 capaz de responder efetivamente e salvaguardar os negócios.
O PCN tem como objetivo especificar as ameaças e riscos identificados na organização e analisar os impactos no negócio, caso essas ameaças se concretizem. Visa com isso tornar possível seu funcionamento em um nível aceitável nas situações de contingência2, resguardando os interesses dos intervenientes, a reputação, a imagem da organização e suas atividades fim de significativo valor agregado.
	
	
	 
		
	
		10.
		O Risco é um conceito importante quando se trata do Plano de Continuidade de Negócios (PCN). A respeito do Risco, selecione a opção correta:
	
	
	
	É um conceito abstrato e com baixa chance de se transformar em um desastre.
	
	
	Evento súbito e imprevisto que provoca grandes perdas ou danos a uma organização.
	
	
	Possível evento que pode causar perdas ou danos, ou dificultar o atingimento de objetivos.
	
	
	Não pode ser analisado em termos probabilísticos, uma vez que sempre está presente.
	
	
	Normalmente não podem ser controlados.
	
Explicação:
O risco é qualquer evento que possa causar impacto na capacidade de empresas atingirem seus objetivos de negócio. Probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização.