Exercícios - ENG SOCIAL E CONSCIENTIZAÇÃO EM SEG DA INFORMAÇÃO (NPG1549)

Prévia do material em texto

Lista de Exercício – Engenharia Social e 
Conscientização em Segurança da 
Informação 
 
 
 
1) A comunicação humana é o ato ou o efeito de emitir, transmitir e receber mensagens 
por diferentes métodos. Em relação à comunicação, é correto afirmar que: 
 
a) Cabe ao receptor da mensagem a tarefa de decodificar e garantir a compreensão do 
conteúdo da mensagem. 
b) Os meios para transmissão de informação são muito restritivos. 
c) O perfil psicológico do receptor da mensagem é irrelevante para comunicação. 
d) A comunicação humana é simples e natural, não sendo objeto de estudo. 
e) Características individuais do receptor devem ser observadas para que a 
abordagem utilizada na comunicação de mensagem seja apreendida 
adequadamente. 
 
R: e) Cada indivíduo tem um perfil de apreensão diferente (auditivo, visual ou 
sinestésico) e esse vem a influenciar na comunicação. Além disso, outros estudos, 
como, por exemplo, sobre o indicador de Myers-Briggs (MBTI) sugerem 
características individuais, que apontam tipos psicológicos. 
 
 
2) O ser humano é um ser social, racional, portador da fala e do discernimento. 
Profissionais interagem mutuamente e com informações empresariais grande parte do 
tempo e precisam avaliar as informações pertinentes em cada caso. Com isso, variações 
de cargo, alocação funcional e perfil profissional no trabalho são: 
 
a) Classificações feitas para fins de remuneração, tão somente. 
b) Consideradas para fins de acesso a cada informação, em particular. 
c) Utilizadas pela segurança de informação empresarial, primordialmente, para classificar 
falhas de segurança. 
d) Estruturas capitalistas unificadas, para funcionamento padronizado das empresas. 
e) Consideradas como último recurso para fins de acesso ao conhecimento. 
 
R: b) A quantidade e o nível de informação acessível é variável, de acordo com o 
cargo, a alocação atual e o perfil profissional. 
 
3) A informação é um ativo de grande interesse e valor para as organizações. Pode-se 
dizer que informação é: 
 
a) Dado dotado de relevância, que requer unidade de análise e significado, que só 
deve ser fornecida para solicitante identificado, com necessidade real. 
b) Informação valiosa da mente humana, de difícil estruturação; frequentemente tácita. 
c) Qualquer dado, e só deve ser fornecida para solicitante identificado, com necessidade 
real. 
d) Simples observação sobre algum estado do mundo. 
e) Simples observação pessoal, interna da empresa ou identificadores. 
 
R: a) Informação foi definida na opção (a), conhecimento na opção (b) e dado na 
opção (d). As demais opções (c) e (e) não trazem conceitos intrínsecos. 
 
 
4) A segurança da informação deve ser uma preocupação somente nas seguintes fases: 
 
a) Durante a identificação da necessidade e requisitos. 
b) Durante o armazenamento e o uso. 
c) Durante todo o ciclo de vida da informação. 
d) Durante todo o ciclo de vida da informação, exceto durante a identificação da 
necessidade e requisitos. 
e) Durante o tratamento e o armazenamento da informação. 
 
R: c) A informação deve ser tratada, durante todo o seu ciclo de vida, o que vai 
desde a identificação e requisitos até a fase de descarte da mesma. 
 
 
5) Garantir a segurança da informação é essencial para o alcance do sucesso da 
empresa. Nas empresas, alguns recursos para a proteção das informações são utilizados, 
entre eles, a identificação do nível de proteção da informação. Para Identificação do Nível 
de Proteção e Tratamento de Informações, qual das orientações a seguir está correta? 
 
a) Identificar o nível de proteção das informações, quando solicitado. 
b) Verificar se a informação é pública ou empresarial. Para informação empresarial, 
identificar ainda a informação de acordo com o nível de proteção adequado. 
c) Identificar as informações de interesse da empresa como públicas. 
d) Não há necessidade de identificar as informações de acordo com seu nível de 
proteção. 
e) Para a mensagem ser transmitida, são realizadas algumas verificações no seu 
conteúdo para garantir que a informação não irá vazar. 
 
R: b) As informações empresariais precisam ser identificadas e classificadas para 
tratamento adequado. 
 
 
6) Uma vulnerabilidade de um sistema é um ponto com mais possibilidade de falha, ponto 
fraco, que expõe o sistema sob alguns dos aspectos da segurança, e pode ser 
classificada em vários tipos, segundo sua origem. Engenheiros Sociais exploram, 
primordialmente, as vulnerabilidades de que tipo? 
 
a) Humanas. 
b) Vulnerabilidades de software. 
c) Físicas. 
d) Vulnerabilidades de mídia. 
e) Vulnerabilidades de hardware e de software. 
 
R: a) Por definição, dada por Kevin Mitnick, “Engenharia Social, é um termo 
diferente para definir o uso de persuasão para influenciar as pessoas a concordar 
com um pedido”. 
 
 
7) Os princípios básicos de Segurança da Informação são incluídos na Política de 
Segurança da Informação das empresas. Assinale a alternativa INCORRETA. 
 
a) As informações produzidas ou adquiridas pela empresa são proprietárias da empresa. 
b) Manusear, preservar e gerenciar as informações adequadamente é uma obrigação de 
todos os empregados. 
c) Toda informação possui um gestor e um ou mais custodiantes. 
d) O custodiante da informação pode acessar ou conceder acesso às informações 
sob sua custódia. 
e) Informações são ativos importantes da empresa. 
 
R: d) Só o gestor da informação pode conceder acesso às informações. O 
custodiante pode acessar as informações sob sua custódia e deve garantir a 
proteção dela, segundo o nível de proteção previsto para a mesma. 
 
 
8) Um engenheiro social tem por características as opções abaixo, EXCETO: 
 
a) Um tipo de pessoa agradável, procurando ser educado, simpático, carismático, entre 
outros. 
b) Explorar as vulnerabilidades humanas. 
c) Criativo, flexível e dinâmico. 
d) Introspectivo, de pouca interação. 
e) Com uma conversa bastante envolvente. 
 
R: d) O engenheiro social se apresenta de forma a não levantar suspeitas (da 
intenção real escondida) de seus propósitos. Pode este ser, portanto: um tipo de 
pessoa agradável, procurando ser educado, simpático, carismático, entre outros. 
Além disso, criativo, flexível e dinâmico, com uma conversa bastante envolvente. 
 
 
9) A Segurança de Informação tem os Processos, a Tecnologia e as Pessoas como três 
grandes pilares básicos. O que esses pilares visam a garantir? Assinale a alternativa que 
corresponde à resposta correta. 
 
I) Disponibilidade. II) Adequabilidade. III) Integridade. 
IV) Baixo custo. V) Confidencialidade. 
 
a) As alternativas I, III e V. 
b) As alternativas II, IV e V. 
c) Nenhuma das alternativas. 
d) As alternativas I, II, e V. 
e) As alternativas I, II e III. 
 
R: a) Os pilares da segurança da informação visam a garantir a: 
- Confidencialidade: é a garantia de que o acesso à informação seja obtido somente 
por pessoas autorizadas. 
- Integridade: garante a exatidão da informação e dos métodos de processamento. 
- Disponibilidade: garante que os usuários autorizados tenham acesso à 
informação, sempre que necessário. 
 
 
10) Qual é uma definição válida para disponibilidade? 
 
a) Disponibilidade é a salvaguarda da informação de ataques de segurança da 
informação. 
b) Disponibilidade é a garantia de que os servidores não fiquem desligados nunca. 
c) Disponibilidade é a garantia de que os usuários autorizados obtenham acesso à 
informação e aos ativos correspondentes sempre que necessário. 
d) Disponibilidade é a garantia de acesso à informação somente por pessoas autorizadas. 
e) Disponibilidade é a salvaguarda da completeza e fidedignidade da informação e dos 
métodos de processamento da mesma. 
 
R: c) Disponibilidade: garante que os usuários autorizados tenham acesso à 
informação, sempre que necessário. 
 
 
11) De acordo com as boas práticas para a divulgação de informações empresariais, 
assinale a opção correta para as orientações abaixo: 
 
a) Sempre verificar a identificação do solicitante da informação, obtendo seus 
dados pessoais.b) Passar informações sobre a empresa para um solicitante desconhecido, que alega 
urgência, por temer dificultar o andamento dos negócios. 
c) Qualquer membro da força de trabalho pode autorizar o acesso à informação. 
d) Obter acesso à informação desejada, submetendo a autorização, posteriormente. 
e) É permitida a divulgação das informações empresariais por telefone desde que a 
pessoa se identifique como um gerente da empresa. 
 
R: a) Qualquer informação (pessoal, interna da empresa ou identificadores) só deve 
ser dada para solicitante identificado, que tenha NECESSIDADE REAL. 
 
 
12) Engenheiros Sociais utilizam de artimanhas para alcançar seus objetivos de invasão. 
Assinale a alternativa FALSA: 
 
a) Simulando tentar ajudar. 
b) Somente as alternativas A, D e E são verdadeiras. 
c) Pedindo informação, tão somente. 
d) Confiança não é transferível. Segredos empresariais não devem ser contados nem 
para o melhor amigo. 
e) Pedindo ajuda. 
 
R: b) O engenheiro social emprega as mesmas técnicas persuasivas que usamos 
no dia a dia. Assumimos papéis. Tentamos obter credibilidade. Cobramos 
obrigações recíprocas. Mas o engenheiro social aplica essas técnicas de uma 
maneira manipuladora, enganos, altamente antiética, frequentemente com efeito 
devastador. O engenheiro social também utiliza a artimanha de pedir a informação, 
simplesmente, por vezes, com sucesso. 
 
 
13) Boas práticas de Segurança da Informação devem ser incentivadas para apoiar 
comportamentos seguros. Selecione a melhor explicação para fator motivador para se 
bloquear a estação de trabalho. 
 
a) Não existe motivo para bloquear a estação, pois basta desligar o monitor da estação de 
trabalho. 
b) Desta forma, protejo minha estação de trabalho de vírus. 
c) É obrigação minha bloquear a estação de trabalho, por estar na norma da minha 
empresa. 
d) Minha estação de trabalho é para meu uso profissional, não devendo ser utilizada por 
outras pessoas. 
e) Impedir que minha chave e senha sejam utilizadas por outras pessoas, na minha 
estação de trabalho. 
 
R: e) Impedir que outra pessoa utilize a estação de trabalho logada na minha chave, 
o que é caracterizado como acesso meu ao sistema. Tudo que é feito na minha 
chave e senha é atribuído a mim, isto é, como sendo meu acesso. 
 
 
14) Boas práticas de Segurança da Informação devem ser incentivadas para apoiar 
comportamentos seguros. Manter a tela do computador bloqueada, sempre que se 
ausentar, e guardar documentos empresariais são exemplos de controles de proteção que 
podem ser utilizados. É uma premissa fundamental de controle de proteção para 
Engenharia social: 
 
a) Manter gaveta e porta com chave. 
b) Auditar a Rede Corporativa. 
c) Implantar biometria. 
d) Fazer análise continuada e consequentes ações para minimizar ocorrências de 
segurança. 
e) Utilizar trituradora de papel para descarte de informação. 
 
R: d) Não existe segurança absoluta. Por mais que nos esforcemos, sempre haverá 
uma abertura de segurança, em que as medidas tomadas até então não 
contemplarão. 
 
 
15) Um falso funcionário acessa um pendrive esquecido em cima da mesa, após conduzir 
uma conversa com o funcionário dessa estação de trabalho e fazer com que ele se 
ausente para responder a suas indagações, e altera esse pendrive para inserir um vírus 
no sistema de informação da empresa. Vários tipos de incidentes são comuns; a perda ou 
o furto de mídia removível com informações empresariais é um exemplo de incidente de 
Segurança da Informação. Contudo, qual premissa FALSA de segurança levou esse 
funcionário a permitir esse incidente? 
 
a) Manter gaveta e porta com chave despista o atacante. 
b) Essa vulnerabilidade é desprezível; muito improvável de ser explorada. 
c) Utilizar trituradora de papel para descarte de informação. 
d) Nosso parceiro é confiável, podemos liberar o acesso para ele. 
e) Vamos colocar para funcionar depois resolvemos os problemas de segurança. 
 
R: b) Não existe segurança absoluta. Considerar que essa situação nunca ocorrerá 
conosco e agir sistematicamente de forma não recomendada pode vir a ser um 
incentivo para pessoas mal-intencionadas. 
 
16) Ao deixar o computador desbloqueado, um terceiro pode, por acidente ou 
propositalmente, com má intenção, incorrer em um incidente de segurança. Para 
minimizar ataques de Engenharia social e de acordo com as boas práticas de Segurança 
da Informação deve-se seguir todas as observações abaixo, EXCETO uma delas. 
Assinale a resposta INCORRETA: 
 
a) Apresentação de um problema e depois da solução pode ser indício de um artifício. 
Eventualmente, o invasor age despertando, inclusive, compaixão para que seja atendido 
mais prontamente na solução. 
b) Ao afastar-se de seu computador, bloqueie-o, mesmo quando houver muita urgência 
em ausentar-se ou o tempo de ausência for mínimo. 
c) O conhecimento de vulnerabilidades tecnológicas é a chave para ataques de 
segurança de informação na empresa. 
d) Não se intimidar por respeito à autoridade e garantir adequação nos procedimentos. 
e) Desconfie sempre de bajulação ou proposição de troca de favores. 
 
R: c) Ataques de Engenharia social não são, obrigatoriamente, baseados em uso de 
tecnologia. Muitas vezes, o engenheiro social obtém as informações, sem grande 
conhecimento de TI, mas sempre, por meio da persuasão ou exploração da 
confiança. 
 
 
17) Habilidoso, hacker consegue acesso aos arquivos do FBI. Posteriormente, tornou-se 
profissional e consultor em segurança da Informação. Quem foi a pessoa que se tornou 
um dos piratas de Informática mais procurados dos EUA? 
 
a) Kevin Mitnick 
b) McCoy Rollins 
c) Matthew Lillard 
d) Dade Murphy 
e) John Draper 
 
R: a) A resposta correta é Kevin Mitnick, ele foi o hacker que acessou os arquivos 
do FBI. Os demais nomes são outros hackers e/ou atores de filmes sobre o tema. 
 
 
18) Incidentes de Segurança de Informação podem gerar vários resultados não previstos 
ou mesmo indesejados. Qual das opções abaixo é a mais improvável de ocorrer ou 
mesmo errada: 
 
a) Gerar demissão de funcionário(s). 
b) Trazer repercussão negativa da imagem da empresa. 
c) Funcionário pode ser processado. 
d) A empresa pode receber multas. 
e) Uma vez que um incidente seja contornado, esse pode ser considerado 
irrelevante. 
 
R: e) Existem regras corporativas e leis que regem o comportamento de 
funcionários e a prática de atitudes de invasão, que geram incidentes de Segurança 
da Informação. Mesmo quando incidentes são contornados, comumente, há 
aplicação dessas regras, normas, procedimentos e leis previamente determinadas. 
 
19) A instrução da Comissão de Valores Mobiliários, CVM, no 358, artigo 8, define, dentre 
outros, que é dever de todo profissional: 
 
a) Responder questões levantadas por acionistas majoritários. 
b) Responder questões levantadas, por ser empresa de capital aberto. 
c) Manter sigilo sobre informações empresárias, por 6 meses. 
d) Manter sigilo sobre informações empresariais relativas a ato ao fato relevante. 
e) Responder sobre informações sigilosas, desde que solicitado por um gerente. 
 
R: d) A instrução da CVM Nº 358 Art.8 define, dentre outros, que é dever de todo 
profissional manter sigilo sobre informações empresárias relativas a ato ou fato 
relevante. 
PORTANTO Um dos objetivos da Comissão de Valores Mobiliários (CVM) é garantir 
o correto manuseio e a divulgação de informações empresariais para público. 
 
 
20) Existe uma considerável dificuldade de manter o ambiente empresarial livre de 
eventos de incidente de Segurança da Informação. Isso se deve a diversos fatores 
combinados. Assinale a opção INCORRETA sobre esse tema. 
 
a) Existe um levantamento grande o suficiente para que empresas façam rotinas de 
prevenção e o que falta é treinar equipes para essa tarefa. 
b) A segurança de informação envolve fortemente pessoas, o que demanda grande 
esforço em conscientização. 
c) Estamos em um contexto de mudanças tecnológicas e de cultura, o que acaba por 
incorrer em muitos riscos. 
d) Engenheiros Sociaisutilizam mídias sociais como umas das fontes de coleta de dados 
para ataques de Segurança da Informação. 
e) A Segurança de Informação envolve pessoas, processos e tecnologia. 
 
R: a) O treinamento é uma atividade crítica na prevenção de incidentes de 
segurança, pois informa procedimentos e normas, além de formas de trabalho para 
minimizar incidentes de segurança, inclusive os que envolvem Engenharia social; 
contudo só ele não basta, é necessário analisar continuamente possíveis riscos, 
uma vez que o ambiente envolve pessoas, processos e tecnologia e está em 
constante mudança. 
 
 
21) Um projeto de Segurança da Informação precisa avaliar alguns fatores para mais 
sucesso. A metáfora do iceberg é apresentada, dentro do cenário de Segurança da 
Informação para ilustrar que: 
 
a) O aspecto da tecnologia é o que é visível e, comumente, é uma pequena parte do 
cenário a ser levantado. 
b) Qualquer que seja a providência tomada para melhoria da Segurança da Informação, 
sempre haverá muito que executar acessível visualmente. 
c) As pessoas são o elo mais fraco da Segurança da Informação. 
d) A e B são verdadeiras. 
e) A base da Segurança é a tecnologia. 
 
R: a) Existem muitos aspectos relevantes a serem considerados para um projeto de 
Segurança da Informação de sucesso. O que é visível, comumente, é uma pequena 
parte do levantamento a ser feito e é relacionado à tecnologia. 
 
22) O alicerce da Segurança da Informação tem três perspectivas básicas que devem ser 
ajustadas e modificadas para que se alcance um ponto de equilíbrio. Essa tríade da 
Segurança da Informação é composta de: 
 
a) Confidencialidade, Integridade e Disponibilidade. 
b) Manuseio, Armazenamento e Descarte. 
c) Pessoas, Tecnologias e Processos. 
d) Pessoas, Disponibilidade e Manuseio. 
e) Cenários, Visões e Projeções. 
 
R: c) A Segurança da Informação só será alcançada se a tríplice Pessoas, 
Processos e Tecnologia for seguida. 
 
 
23) A Engenharia Social tem uma abrangência bastante grande, podendo ser praticada 
com vários objetivos e de diversas formas. Marque a opção INVÁLIDA. 
 
a) Existem centros de atendimento a crimes de internet, que são ligados aos governos e 
esses também investigam casos de Engenharia social, ligados ao uso de internet. 
b) No Brasil, existe uma enorme aceitação do uso de redes sociais. Vale lembrar que, as 
redes sociais são recursos fortemente utilizados por engenheiros sociais para obter dados 
para ataques de segurança. 
c) O Centro de Estudos Estratégicos e Internacionais dos EUA, em conjunto com uma 
empresa de segurança, revelou que falhas em segurança digital geram, em todo o 
mundo, um prejuízo anual que atinge a marca de aproximadamente US$ 500 bilhões. 
d) A Pesquisa Nacional de Segurança da Informação 2014 aponta que mais de 40% das 
falhas de SI estão relacionadas a pessoas e a maneira na qual dados, informações e 
sistemas são utilizados nas organizações. 
e) As organizações devem assegurar um enfoque consistente e efetivo para 
gerenciar os incidentes de Segurança da Informação, sem exposição de 
fragilidades. 
 
R: e) As organizações devem assegurar um enfoque consistente e efetivo para 
gerenciar os incidentes de Segurança da Informação, incluindo a comunicação 
sobre fragilidades e eventos de segurança da informação. 
 
 
24) Em relação à motivação para empenhar esforços em Segurança da Informação é 
correto afirmar: 
 
a) A Segurança da Informação deve ser garantida pelos engenheiros de Segurança da 
Informação. 
b) Uma corrente é tão fraca quanto seu elo mais fraco. 
c) Estatísticas e pesquisas recentes demonstram que um esforço concentrado em médio 
espaço de tempo é suficiente para segurança máxima a longo prazo. 
d) Existe uma central internacional de crimes de Informática para catalogar os incidentes 
para gerar estatísticas e boas práticas. 
e) O objetivo é reduzir o risco a um nível aceitável. 
 
R: e) O objetivo é reduzir o risco a um nível aceitável. A gestão do risco não 
extingue o risco. 
 
 
25) São iniciativas de Segurança da Informação válidas para diminuição da quantidade de 
incidentes de Segurança: 
 
a) Diminuição da divulgação de informações. 
b) As opções C, D e E são verdadeiras. 
c) Treinamento online. 
d) Treinamento presencial. 
e) Campanhas de conscientização em Segurança da Informação. 
 
R: b) A diminuição da divulgação de informações, de forma genérica, não chega a 
ser uma medida plausível e, além disso, não tem relação com o comprometimento e 
o comportamento dos funcionários no tratamento das informações. 
 
 
26) Campanhas de Segurança de Informação podem ter vários tipos de eventos, 
direcionados para diferentes públicos, com metas integradas associadas previamente, 
para que os resultados sejam mensuráveis. São exemplos de eventos de Segurança de 
Informação, entre outros, EXCETO: 
 
a) Jogos empresariais. 
b) Filmes selecionados. 
c) Reuniões periódicas para repasse de informações de Segurança de Informação. 
d) Iniciativas voltadas para o público externo. 
e) Vídeos com situações mais frequentes. 
 
R: d) Campanhas de Segurança de Informação visam a melhorar as estatísticas de 
incidentes de Segurança da Informação na empresa e não são aplicáveis para o 
público externo. 
 
 
27) A Segurança da Informação é comprometida por diferentes motivos. Qual das opções, 
a seguir, compromete a SI e deve ser apresentada nas campanhas de segurança da 
informação como uma falha no comportamento seguro? 
 
a) Jogar relatório com informações confidenciais cortado na lixeira. 
b) Sempre que se ausentar, bloquear a estação de trabalho. 
c) Ser firme e só fornecer informações empresarias quando necessário e para pessoa 
autorizada. 
d) Não compartilhar pastas na estação de trabalho. 
e) Guardar documentos sigilosos em local seguro, fechado com chave. 
 
R: a) Não basta cortar um relatório confidencial, é necessário utilizar um triturador 
para picotar estes relatórios. 
 
 
28) Qual das alternativas NÃO se adequa às melhores práticas de Segurança da 
Informação. 
 
a) Descartar informações, de acordo com a classificação do nível de proteção da mesma. 
b) Construir senhas adequadas, para dificultar a quebra de senhas. 
c) Participar ativamente das iniciativas de Segurança da Informação propostas pela 
empresa. 
d) O responsável pela classificação da informação é o gestor da mesma. 
e) Discutir em público questões sigilosas da companhia. 
 
R: e) Informações devem ser protegidas em todos os seus aspectos, inclusive na 
preocupação em só discutir questões da empresa em locais adequados, e na 
presença de público autorizado a conhecer o conteúdo discutido. 
 
 
29) Assinale a opção que corresponde a uma das responsabilidades do custodiante, 
relativa à segurança da informação. 
 
a) A divulgação da Política de Segurança da Informação da empresa e implantação das 
orientações da Segurança Empresarial na sua unidade organizacional são feitas pelo 
custodiante. 
b) A garantia da qualidade da informação é feita pelo custodiante. 
c) O custodiante adquire ou origina a informação; classifica e armazena a informação com 
o grau de proteção adequado e concede acesso às informações sob sua 
responsabilidade. 
d) O custodiante solicita ao gestor a autorização para ter acesso à informação. 
e) O custodiante provê os meios para garantir disponibilidade, integridade e 
confidencialidade da informação sob sua custódia, conforme as condições 
estabelecidas pelo gestor. 
 
R: e) O custodiante da informação é o responsável pela sua classificação e 
disponibilização para terceiros. Disponibilidade, integridade e confidencialidade 
são atributos da Segurança da Informação. 
 
 
30) Você digitou sua chave e senha, mas acha que um colega de trabalho tenha visto, 
pois estava muito próximo e atento ao que você fazia. Diante do contexto apresentado, 
qual é a atitude mais adequada? 
 
a) Falar, displicentemente, que o sistema está informando que você deve trocar a senha. 
Daí o recado fica dado para que o colega nem tente usar a senha atual. 
b) Trocar a senha, o maisbreve possível. 
c) Não tem problema, porque confio em meu colega de trabalho. 
d) Trocarei a senha assim que ela espirar, pois o sistema vai solicitar. 
e) Confirmo com meu colega de trabalho se ele viu a minha senha e caso positivo, eu a 
troco, imediatamente. 
 
R: b) O procedimento adequado é trocar a senha, porque só você deve saber sua 
senha. Não importa se você tem confiança no outro colega de trabalho. 
 
 
31) Assinale abaixo a afirmativa INCORRETA, que não deveria ser parte de uma Política 
de Segurança da Informação. 
 
a) Informação é um conjunto de dados, imagens, textos e quaisquer outras formas de 
representação dotadas de significado dentro de um contexto. 
b) A integridade é a garantia de que o acesso à informação seja obtido somente por 
pessoas autorizadas. 
c) Segurança da Informação é a preservação da confidencialidade, integridade e 
disponibilidade da informação. 
d) A disponibilidade é a garantia de que os usuários autorizados obtenham acesso à 
informação e aos ativos correspondentes sempre que necessário. 
e) A integridade é a garantia de que o acesso à informação seja obtido somente por 
pessoas da empresa. 
 
R: b) A integridade é a “propriedade de que a informação não foi modificada ou 
destruída de maneira não autorizada ou acidental” (IN01 GSIPR, 2008). Nota-se que 
o conceito de integridade é mais complexo e justifica-se pela necessidade de tornar 
bem claro o que significa completeza e exatidão da informação. 
 
 
32) É responsabilidade de todos os empregados proteger as informações pessoais e de 
terceiros sob poder da companhia. Utilizá-las de maneira indevida pode expor fraquezas, 
oferecer vantagens comerciais a terceiros e até mesmo prejudicar ou ameaçar a vida de 
pessoas. Assinale abaixo a afirmativa correta, que reflete um comprometimento com 
comportamentos seguros, visando à Segurança da Informação. 
 
a) O gerente deve prover as condições necessárias para o cumprimento dos padrões de 
Segurança da Informação em toda empresa e fazer a gestão da informação. 
b) Pode haver o monitoramento das informações e dos ambientes físicos e lógicos 
da instituição, desde que se faça o aviso prévio, visível e objetivo do 
monitoramento. 
c) A alta direção não precisa se envolver em relação ao sistema de gerenciamento de 
Segurança da Informação. 
d) A ilusão de segurança nas empresas foi extirpada no início do século, pelas 
proposições de Freud. 
e) A senha é uma informação confidencial e pessoal, transferível somente para 
secretárias. 
 
R: b) A alternativa correta é a opção b. Em relação às demais, o correto seria: 
(a) O gerente deve prover as condições necessárias para o cumprimento dos 
padrões de Segurança da Informação em sua área de atuação e fazer a gestão da 
informação.