Privacidade e Proteção de Dados Passei direto

Prévia do material em texto

Cibersegurança - Unop
Av2 - Privacidade e Proteção de Dados
1)
Considere um contexto em que uma universidade coleta dados pessoais dos alunos no processo de matrícula. Os dados são inseridos em um sistema Web hospedado no datacenter próprio, com o banco de dados estando em um provedor de nuvem. Os dados armazenados são acessados pela universidade, e também por uma empresa terceirizada que faz o gerenciamento do material dos cursos.
Considere os seguintes elementos a seguir. Neste contexto, qual alternativa representa os pontos de ataques?
i. Sistema Web;
ii. Datacenter da universidade;
iii. Banco de dados;
iv. Provedor de nuvem.
 
Alternativas:
· a)
Apenas i, ii e iii
· b)
Apenas ii, iii e iv
· c)
Apenas ii
· d)
Apenas ii e iv
· e)
I, ii iii e iv
2)
Um conjunto de controles de segurança deve ser conhecido e definido seguindo o princípio da segurança em camadas para serem utilizados para a proteção de dados. Alguns destes controles são aplicados nos dados, enquanto outros são aplicados na rede ou na aplicação, por exemplo.
Qual técnica é utilizada nos dados, de modo que o dado passa a não ser utilizável (proteção da confidencialidade), a não ser com o uso de uma chave para que os dados originais possam ser acessados?
Alternativas:
· a)
Anonimização
· b)
Pseudonimização
· c)
Criptografia
· d)
Eliminação
· e)
Engenharia social
3)
Segundo uma pesquisa da Cloud Security Alliance (CSA), as principais preocupações de segurança evoluíram com a disseminação mais forte do uso da nuvem, incluindo tópicos relacionados às fraquezas potenciais do plano de controle, de falhas na infraestrutura e a limitada visibilidade da nuvem.
Considere as seguintes afirmações:
i. Proteção e resiliência de ativo, incluindo dados e ativos que armazenam ou processam os dados, contra adulteração física, perda, dano ou captura;
ii. Separação entre usuários, de modo que um usuário comprometido não afete o outro;
iii. Governança, para coordenar e direcionar o gerenciamento do serviço e das informações relacionadas;
iv. Segurança operacional, que gerencia o serviço para impedir, detectar ou prevenir ataques;
v. Segurança de pessoal, incluindo treinamento e triagem para reduzir as chances de incidentes acidentais ou maliciosos do pessoal do provedor de serviços;
Identifique se as afirmações acima são (V) verdadeiras ou (F) falsas sobre princípios da segurança em nuvem relacionados com proteção de dados. Qual alternativa é a correta?
Alternativas:
· a)
F, F, F, F, F
· b)
V, V, F, V, V
· c)
V, V, F, V, F
· d)
V, V, F, F, F
· e)
V, V, V, V, V
4)
Com os sistemas web, aplicativos específicos, apps para dispositivos moveis, e uso de APIs, os dados estão distribuídos entre diferentes provedores e fornecedores de cada componente ou ativo da infraestrutura. Como cada um deles representa um ponto de ataque, todos devem ser tratados igualmente.
Qual controle de segurança pode ser utilizado para proteger os dados e aplicado diretamente sobre eles?
Alternativas:
· a)
Criptografia
· b)
Autenticação
· c)
Governança de segurança
· d)
VPN
· e)
Análise de configuração
5)
Cada vez mais as empresas adotam o modelo de nuvem, que podem ser de diferentes modelos. Dependendo do modelo de nuvem adotado, as responsabilidades de segurança mudam. No modelo tradicional, em que a empresa possui um datacenter, a responsabilidade de todos os elementos é da própria empresa: aplicações, dados, execução (runtime), middleware, sistema operacional (O/S), virtualização, servidores, armazenamento (storage) e redes.
Qual é o modelo de nuvem em que a empresa contrata elementos que incluem as redes, armazenamento, virtualização e parte do sistema operacional? A empresa deve, neste caso, cuidar da segurança do sistema operacional, middleware, ambiente de execução, dados e aplicações.
Alternativas:
· a)
On premises
· b)
Software as a Service (SaaS)
· c)
Platform as a Service (PaaS)
· d)
Infrastructure as a Service (IaaS)
· e)
Data as a Service (DaaS)
Aap1 - Privacidade e Proteção de Dados
1)
Nos últimos anos a palavra privacidade ganhou muita relevância devido aos incontáveis casos de repercussão geral acerca do vazamento de dados e informações pessoais sem o consentimento dos titulares.
 
Com base no vazamento de dados pessoais e o consentimento, avalie as seguintes asserções e a relação proposta entre elas.
 
 I. Muitas vezes, pode-se observar que os titulares dos dados pessoais acabam dispondo da sua privacidade por consentirem com a operação dos próprios dados sem o real entendimento.
 
PORQUE
 
 II. Alguns pedidos de consentimento do operador ao titular se apresentam em letras minúsculas, confusas ou de difícil entendimento ou lançam mão de termos jurídicos que nem todos são capazes de assimilar.
A respeito dessas asserções, assinale a alternativa correta.
Alternativas:
· a)
As asserções I e II são proposições verdadeiras e a II justifica a I.
· b)
As asserções I e II são proposições falsas.
· c)
As asserções I e II são proposições verdadeiras, mas a II não justifica I.
· d)
A asserção I é falsa e a II verdadeira.
· e)
A asserção I é verdadeira e a II é falsa.
2)
A proteção de dados de forma efetiva necessita da aplicação de técnicas de segurança que podem ser aplicadas em três aspectos: tecnologia, processos e pessoas e divididos em quatro camadas: endpoint, servidores, rede interna e rede externa.
 
Tomando como referência as camadas de segurança, julgue as afirmativas a seguir em (V) Verdadeiras ou (F) Falsas.
 
(    )  Endpoint é o nível de usuário, trata-se de uma proteção de dados que  que incide nos aparelhos pessoais, que além de incorporar melhorias em processos para evitar fraudes e erros operacionais também realiza  a aplicação de treinamento para que as pessoas tomem conhecimento sobre a preocupação com a privacidade e técnicas que podem empregar para aumentar o nível de proteção no dia a dia.
 
(   ) Servidores são a primeira camada de segurança. Eles podem ser físicos ou em nuvem. Necessitam de um nível de proteção robusto para evitar vazamentos ou invasões.
 
(    ) Rede externa é a terceira camada, ela deve ser estruturada em conjunto com o time de infraestrutura e acaba alternando toda a infraestrutura da empresa.
 
(    ) Rede externa necessita uma atenção especial, pois fica em contato com o mundo externo e é dele que provém a maioria dos ataques cibernéticos.
Assinale a alternativa que apresenta a sequência CORRETA.
Alternativas:
· a)
V – V – F – V.
· b)
F – F – V – V.
· c)
V – F – F – F.
· d)
F – V – F – V.
· e)
V – F – F – V.
3)
O motivo que inspirou o surgimento de regulamentações de proteção de dados pessoais de forma mais consistente e consolidada a partir dos anos 1990 está diretamente relacionado ao próprio desenvolvimento do modelo de negócios da economia digital, que passou a ter uma dependência muito maior dos fluxos internacionais de bases de dados, especialmente os relacionados às pessoas, viabilizados pelos avanços tecnológicos e pela globalização.
Assinale a alternativa que apresenta corretamente a lei ou diretriz de proteção de dados e o país que a elaborou, respectivamente, que serviu de inspiração para as legislações brasileiras.
Alternativas:
· a)
PRC, Canadá.
· b)
LGAP, Brasil.
· c)
GDPR, União Europeia.
· d)
PDPL, China.
· e)
APPI, Austrália.
4)
A LGPD surge com o intuito de proteger direitos fundamentais como privacidade, intimidade, honra, direito de imagem e dignidade, formando um plexo de garantias relacionadas à dignidade digital.
Assinale a alternativa que apresenta exemplos de dados pessoais sensíveis.
Alternativas:
· a)
Endereço e CEP.
· b)
Número de CPF ou RG.
· c)
Convicção religiosa ou opinião política.
· d)
Conta Bancária e Agência.
· e)
Filiação e estado civil.
Aap2 - Privacidade e Proteção de Dados
1)
Website é uma palavra que resulta da justaposição das palavras inglesas web (rede) e site (sítio, lugar). No contexto das comunicações eletrônicas, website e site possuem o mesmo significado e são utilizadas para fazer referência a uma página ou a um agrupamento de páginas relacionadas entre si, acessíveisna internet através de um determinado endereço.
 
Sobre websites, a segurança em websites e os principais riscos envolvidos em sua aplicação, assinale a alternativa correta.
Alternativas:
· a)
Broken authentication é uma falha no tratamento de dados que resulta na execução de códigos remotos ou escalação de privilégios.
· b)
Cross-Site Scripting ou XXS é uma falha na validação de dados que possibilita ataques cruzados com a execução de códigos maliciosos no navegador da vítima.
· c)
Security misconfiguration é uma das principais falhas que ocorrem na fase da aplicação dos Websites, representando má configuração do XLM que possibilita o uso de entidades externas.
· d)
Sensitive data exposure é o uso de configurações padrão incompletas, que expõe diretamente os dados que são utilizados em ataques.
· e)
Cokies e leads são pequenos ativos que comprometem a segurança dos dados ao serem abertos pelos usuários.
2)
Importante destacar que cabe à instituição que realiza o tratamento a capacidade de demonstrar que estava legítima (detinha o registro do consentimento ou se enquadrava nas hipóteses de exceção).
 
 
Analise as afirmativas a seguir:
 
I. De acordo com o art. 7º da LGPD existem dez hipóteses em que o tratamento de dados poderá ocorrer.
II. Uma das hipóteses previstas para o tratamento de dados é o estudo por órgãos de pesquisa.
III. Uma das hipóteses em que o tratamento de dados é permitido é a proteção patrimonial.
É correto o que se afirma em:
Alternativas:
· a)
I, apenas.
· b)
II, apenas.
· c)
III, apenas.
· d)
I e II, apenas.
· e)
II e III, apenas.
3)
Os dados passam a existir para as empresas a partir da coleta, quando eles são criados. A criação dos dados na empresa também pode ocorrer quando recebem os dados pelo compartilhamento ou transferência. A partir da criação, há as responsabilidades das empresas pelos dados coletados. Após a sua coleta, os dados podem ainda ser armazenados, compartilhados e arquivados.
Sobre o ciclo de vida dos dados assinale a alternativa correta.
Alternativas:
· a)
A fase em que os dados deixam de ser utilizados ativamente indo para um armazenamento a longo prazo é a destruição.
· b)
Arquivamento é a uma das fases do ciclo de vida dos dados, corresponde no ato de colocar o dado em um repositório e ocorre quase simultaneamente ao compartilhamento.
· c)
A destruição representa o fim do ciclo de vida dos dados, se trata da destruição temporária dos dados seja em meios físicos.
· d)
A criação é a etapa inicial do ciclo de vida dos dados, é, em suma, a geração de um novo dado, vale ressaltar que alteração/atualização de dados existentes fogem dessa fase.
· e)
Uma das fases do ciclo da vida dos dados é o uso, nesta os dados são vistos, processados ou utilizados em outras atividades.
4)
Diversos são os princípios relacionados à proteção de dados. É fundamental conhecê-los bem, para efeito de aplicação adequada da legislação.
Considerando isto, analise as assertivas a seguir e a relação entre elas.
 
I. Com o princípio da segurança, as empresas devem utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
 
PORQUE
 
 II. Segundo o ciclo de vida dos dados, após a coleta, a responsabilidade pela proteção dos dados é da empresa, ou controlador.
A respeito dessas informações, assinale a alternativa correta.
Alternativas:
· a)
As asserções I e II são proposições verdadeiras, mas a II não justifica a I.
· b)
As asserções I e II são proposições verdadeiras e a II justifica a I.
· c)
A asserção I é uma proposição verdadeira e a II, falsa.
· d)
A asserção I é uma proposição falsa e a II, verdadeira.
· e)
As asserções I e II são proposições falsas.
Aap3 - Privacidade e Proteção de Dados
1)
O phishing é um importante vetor de vazamento de dados, já que é direcionado para os usuários para o furto de dados pessoais, para a criação de credenciais falsas ou para instalação de malwares. Com o phishing, o usuário pode executar diretamente códigos maliciosos que comprometem um sistema, uma conta ou uma sessão, além de realizar a exfiltração dos dados.
Qual é o principal elemento que está relacionado com os ataques envolvendo o phishing?
Alternativas:
· a)
Firewall ineficiente
· b)
Falta de criptografia
· c)
Comunicação ineficiente
· d)
Engenharia social
· e)
Ataque do homem do meio
2)
Os dados pessoais podem ser comprometidos em seus diferentes estados. Um agente de ameaça pode atacar um banco de dados, que possui dados pessoais armazenados, explorando diferentes vulnerabilidades. Os dados em transmissão ou em movimento, na rede, também podem ser capturados e resultar em impactos para a privacidade dos titulares de dados.
Qual é este ataque em dados em transmissão (Data In Motion, DIM) que pode resultar em vazamento de dados?
Alternativas:
· a)
Ransonware
· b)
Phishing
· c)
Sniffing
· d)
Vulnerabilidades
· e)
Engenharia social
3)
Uma forma do criminoso obter dados dos usuários, como as credenciais de acesso ou mesmo diretamente os dados, é direcionar as vítimas para sites falsos, onde elas inserem os dados, que são então capturados. Uma vez de posse das credenciais de acesso, o criminoso pode realizar o acesso aos dados, como se fosse o usuário que foi vítima deste ataque. Uma outra forma de obtenção dos dados é fazer com que a vítima clique em um link que leva diretamente ao site falso, onde então ela entrega suas credenciais de acesso.
Quais são, respectivamente, estes ataques que direcionam as vítimas para sites falsos diretamente na navegação, e as que direcionam as vítimas com o envio de links maliciosos?
Alternativas:
· a)
DNS Spoofing e engenharia social
· b)
ARP Spoofing e DNS Spoofing
· c)
Sniffing e ARP Spoofing
· d)
Homem do meio e engenharia social
· e)
Engenharia social e homem do meio
4)
A Lei Geral de Proteção de Dados Pessoais (LGPD) possui um capítulo específico sobre a segurança e boas práticas para a proteção de dados, que estabelece as obrigações dos agentes de tratamento ou empresas que realizam o tratamento de dados pessoais.
Considere os elementos a seguir. Qual das alternativas abaixo representa as obrigações das empresas para a proteção dos dados dos titulares?
 
i. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais, desde a fase de concepção do produto ou do serviço até a sua execução;
ii. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista na LGPD em relação aos dados pessoais, mesmo após o seu término;
iii. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
iv. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos.
 
Alternativas:
· a)
Apenas i, ii e iii
· b)
Apenas ii, iii e iv
· c)
Apenas ii
· d)
Apenas ii e iv
· e)
I, ii iii e iv
Adg1 - Privacidade e Proteção de Dados
1)
A privacidade digital é uma recente demanda da sociedade. Assim como a privacidade física, no lar ou em conversas reservadas, é um valor essencial, também a privacidade digital se tornou um desejo da sociedade moderna.
Assinale a alternativa que apresenta corretamente a nova lei específica que visa entre outros à proteção da privacidade digital.
Alternativas:
· a)
Marco Civil da Internet.
· b)
Lei Geral de Proteção de Dados.
· c)
Código de Defesa do Consumidor.
· d)
Lei Geral de Segurança.
· e)
Lei de proteção as informações pessoais.
2)
A lei, criada em 14 de agosto de 2018, tem 65 artigos e foi alterada por alguns atos posteriores. Embora seja a legislação mais recente e mais específica, não é a única lei que rege a privacidade.
 
Com relação à Lei Geral de Proteção de Dados, no que tange à suavigência, analise o excerto a seguir, completando suas lacunas.
 
A Lei Geral de proteção de dados tinha como data prevista para sua vigência fevereiro de 2020, mas veio a ser alterada pela __________, transformando a data de entrada e, vigor em __________do mesmo ano, posteriormente a Lei n. 13.8653/2019 trouxe a revogação de alguns artigos e definiu a data de vigência das sanções relacionas a LGPD para __________ de 2021.
Assinale a alternativa que preenche corretamente as lacunas.
Alternativas:
· a)
MP 869/2018 / setembro / agosto.
· b)
câmara / setembro / setembro.
· c)
MP 869/2018 / outubro/ outubro.
· d)
câmara/ agosto / agosto.
· e)
MP 869/2018 / setembro / setembro.
3)
É inegável que passamos por uma transição para uma sociedade digital. A indústria e os serviços estão se transformando. Até setores mais tradicionais da economia brasileira, como a agropecuária e a indústria extrativa, estão se digitalizando com uma velocidade incrível. E nesse contexto já começamos a ver a materialização de preocupações da sociedade em torno do tratamento de dados, em especial os pessoais, por essas organizações.
 
Com base na origem da Lei Geral de Produção de Dados, avalie as asserções e a relação proposta entre elas.
 
 I. A Lei Geral de Proteção de Dados, apesar de ser a mais específica e recente legislação sobre privacidade e proteção de dados não é a primeira dessa natureza.
 
PORQUE
 
 II. Leis nacionais como o Marco civil da Internet e o Código de Defesa do Consumidor entre outras já tratavam sobre o assunto, ainda que mais genericamente.
A respeito das asserções, assinale a alternativa correta.
Alternativas:
· a)
As asserções I e II são proposições verdadeiras e a II justifica a I.
· b)
As asserções I e II são proposições falsas.
· c)
As asserções I e II são proposições verdadeiras, mas a II não justifica a I.
· d)
A asserção I é falsa e a II verdadeira.
· e)
A asserção I é verdadeira e a II é falsa.
4)
Muitas vezes os usuários são forçados a assinar documentos físicos ou até mesmo digitais com diversas páginas para ter acesso a um serviço ou a uma informação e por desconhecimento dos termos jurídicos ou por privação de tempo acabam consentindo sem realmente entender, autorizando a coleta de dados e permitindo o processamento. É nesse contexto que os têm o direito de remover o consentimento em qualquer momento sem aviso prévio.
 
Com base no vazamento de dados pessoais e no consentimento, avalie as seguintes asserções e a relação proposta entre elas.
 
I. Apesar da facultatividade das empresas em assegurar o direito à eliminação dos dados pessoais tratados com o consentimento do titular, há situações em que a empresa não pode fazê-lo.
 
PORQUE
 
II. O artigo 16 da Lei Geral de Proteção de Dados autoriza a conservação dos dados com a finalidade de cumprir obrigação legal, por exemplo.
A respeito dessas asserções, assinale a alternativa correta.
Alternativas:
· a)
As asserções I e II são proposições verdadeiras e a II justifica a I.
· b)
As asserções I e II são proposições falsas.
· c)
As asserções I e II são proposições verdadeiras, mas a II não justifica I.
· d)
A asserção I é falsa e a II verdadeira.
· e)
A asserção I é verdadeira e a II é falsa.
Adg2 - Privacidade e Proteção de Dados
1)
Os dados, a partir da coleta, passam a fluir por uma série de elementos, que representam pontos de ataque que podem refletir no comprometimento da privacidade dos titulares de dados. Como a empresa é a responsável pela proteção dos dados, após a coleta e início do tratamento de dados, é preciso que o mapeamento seja feito para identificar quais dados possuem riscos associados em cada um dos pontos em que eles fluem.
Sobre o mapeamento dos dados físicos e digitais, assinale a alternativa correta.
Alternativas:
· a)
Os dados físicos existem em processamento ou Data-In-Use (DIU), em transmissão ou Data-In-Motion (DIM) ou em armazenamento ou Data-At-Rest (DAR).
· b)
A partir do mapeamento de dados é possível definir uma estratégia de proteção dos dados e as adequações aos sistemas, que podem aplicar princípios da LGPD e controles ou medidas de segurança da informação para a proteção.
· c)
O mapeamento de dados, apesar de importante para a proteção e segurança dos dados, é incapaz de identificar qual tipo de dado pode vazar em cada um dos pontos do fluxo.
· d)
Os vazamentos se originam em meios físicos e em falhas humanas, sendo extremamente difícil um vazamento em meio digital, uma vez que tratando-se de máquinas e aparelhos estão menos suscetíveis a erros.
· e)
Quando um dado pessoal é coletado do titular de dados em um serviço, este dado passa por diferentes elementos, existindo em diferentes estados, mas de maneira alguma em meios diferentes.
2)
Websites são uma das principais ferramentas para a coleta de dados, sendo utilizados não só pela grande maioria das empresas de todas as naturezas como também por órgãos governamentais.
 
Analise as afirmativas a seguir:
 
I. Os dados pessoais são alvos constantes de ataques cibernéticos, e os websites necessitam de segurança para que as empresas estejam adequadas à LGPD.
II. São componentes dos websites: sistemas operacionais, banco de dados e a aplicações.
III. Sensitive data exposure é má configuração de XML que possibilita o uso de entidades externas para a execução de códigos remotos, varreduras, negação de serviço ou compartilhamento interno.
É correto o que se afirma em:
Alternativas:
· a)
I, apenas.
· b)
II, apenas.
· c)
I, II e III.
· d)
I e II, apenas.
· e)
I e III, apenas.
3)
O mapeamento de dados pode mostrar o fluxo de dados em um website, passando por diferentes componentes e por vários atores de diferentes organizações, que representam os pontos de ataque e que precisam ser protegidos.
 
Tomando como referência o mapeamento dos dados e os principais riscos envolvidos com aplicações da Web, que podem levar a incidentes de segurança, julgue as afirmativas a seguir em (V) Verdadeiras ou (F) Falsas.
 
(   ) Um dos principais riscos nas aplicações da Web é o Injection, uma falha que resulta no envio de dados construídos para executarem comandos a partir de parâmetros de entrada do website. 
(  ) A Broken authentication representa um dos principais riscos na aplicação da Web, é uma falha no gerenciamento da autenticação ou da sessão, que ocasiona acessos indevidos. 
(   ) Cross-Site Scripting (XSS) é uma falha na validação de dados que possibilita ataques cruzados com a execução de códigos maliciosos no navegador da vítima.
(   ) Security misconfiguration é uma falha na obtenção de dados de segurança para a identificação de ataques em andamento.
Assinale a alternativa que apresenta a sequência CORRETA.
Alternativas:
· a)
V – V – V – F.
· b)
V – V – F – F.
· c)
V – V – F – V.
· d)
V – F – V – F.
· e)
F – F – V – V.
4)
Uma das abordagens que as empresas podem utilizar é o portal da privacidade, que confere ao titular a possibilidade de realizar consultas sobre os próprios dados que estão sendo tratados pela empresa. Outro similar é o website específico, que trazem informações sobre a privacidade, incluindo elementos como aviso de privacidade, termo de privacidade ou políticas de privacidade, por último há o atendimento aos titulares, seja por telefone, e-mail, redes sociais ou outras ferramentas de comunicação.
Sobre os princípios de tratamento de dados, assinale a alternativa correta.
Alternativas:
· a)
O tratamento de dados pessoais deve ser feito de acordo com propósitos legítimos, específicos, explícitos e informados ao titular.
· b)
O princípio da necessidade exige a compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
· c)
O princípio da adequação limita o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento.
· d)
O princípio da qualidade de dados garante aos titulares a consulta de forma fácil e gratuita sobre a forma como seus dados são tradados.
· e)
O princípiodo livre acesso garante aos titulares exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
Adg3 - Privacidade e Proteção de Dados
1)
Muitos negócios funcionam com base nos dados pessoais, que são coletados e tratados pelas empresas. Uma vez que os dados pessoais passam a existir na empresa, eles devem ser protegidos, já que podem ser alvos de ataques cibernéticos que podem resultar em vazamentos.
Um ataque cibernético é o resultado de um agente de ameaça explorando qual elemento?
Alternativas:
· a)
Risco
· b)
Ameaça
· c)
Impacto
· d)
Vulnerabilidade
· e)
Ataque
2)
As vulnerabilidades podem existir em diferentes componentes de um sistema e também nos humanos, como é o caso do administrador do sistema ou do usuário, que estão sujeitos a ataques como o furto de identidades, que explora vulnerabilidades humanas como a curiosidade ou a ganância.
Qual alternativa representa o ataque que explora as vulnerabilidades humanas?
Alternativas:
· a)
Data exfiltration
· b)
Sniffing
· c)
Ataque do homem do meio
· d)
ARP e DNS Spoofing
· e)
Engenharia social
3)
Para que as medidas ou controles de segurança mais adequados possam ser aplicados, devemos identificar todos os componentes que fazem parte de um sistema, além de todas as vulnerabilidades existentes em cada um destes componentes.
Uma medida ou controle de segurança é aplicada para tratar diretamente qual elemento?
Alternativas:
· a)
Sistema
· b)
Componente
· c)
Vulnerabilidade
· d)
Ameaça
· e)
Ataque
4)
A proteção de dados pessoais deve considerar todos os pontos de ataques, sejam eles pessoas, físicos ou tecnológicos em acordo com as formas e estados que os dados pessoais existem. Os processos também podem apresentar vulnerabilidades, que podem ser exploradas por agentes de ameaça, resultando em exfiltração de dados, por exemplo.
Considere os seguintes elementos:
 
i. Controles físicos como controle de acesso aos centros de dados;
ii. Controles tecnológicos como firewalls e antivírus;
iii. Controles administrativos como treinamentos.
As medidas de segurança da informação para a proteção de dados envolvem quais elementos?
Alternativas:
· a)
Apenas i
· b)
Apenas ii
· c)
Apenas iii
· d)
Apenas i e iii
· e)
I, ii e iii
Adg4 - Privacidade e Proteção de Dados
O art. 6° da LGPD, por meio de seu inciso VII, que discorre sobre o princípio da segurança, diz que que este se dá “pela utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”, mas não define em que consistem essas medidas e como aferir a efetivação do programa de Compliance voltado à proteção de dados.
Tendo em vista a previsão por qual se dá o princípio da segurança e ao mesmo tempo a ausência de especificidade em relação as medidas proteção de dados e seu aferimento, assinale a alternativa correta.
Alternativas:
· a)
Os programas de proteção de dados já desenhados por algumas empresas podem ser replicados em outras, de sorte que, devem majoritariamente imitar os Compliances já realizados pelas grandes empresas.
· b)
É inadequado imitar os programas de proteção de dados de outras empresas. O mais recomendável é se utilizar de um guia de orientação em que há o estudo da LGPD e outras leis que regem o negócio, mapeamento da forma de entrada e tratamento de dados pessoais e categorização dos dados pessoais entre outros.
· c)
Para elaborar um Compliance efetivo é necessário realizar um estudo da LGPD e demais leis que regulamentam o negócio, bem como mapear a forma de entrada e o tratamento de dados, pois assim será dispensável categorizar os dados pessoais e mapear o tratamento de dados e os riscos.
· d)
Uma das etapas para criar um programa de proteção de dados é a categorização dos dados pessoais que se subdividem em pesquisas de mercado, coleta de informações sobre clientes e coleta de cookies no site da empresa.
· e)
Uma etapa fundamental do guia de implementação de um sistema de proteção de dados é o mapeamento dos dados. Eles podem ser categorizados, nesta etapa como: pessoais, sensíveis, anonimizados, diretos e indiretos e de crianças e adolescentes.
2)
Existem alguns passos que poderiam servir de padrão, isto é, como guia de orientação capaz de oferecer à empresa um certo grau de sucesso na implementação deste programa.
 
Considerando as informações apresentadas, analise as afirmativas a seguir:
 
I. São algumas etapas deste guia de orientação/ implementação o estudo da LGPD e demais leis que regulamentam o negócio, o mapeamento da forma de entrada e o tratamento de dados pessoais, além da categorização dos dados pessoais e do mapeamento do tratamento dos dados e riscos.
II. Mapear a forma de entrada e o tratamento dos dados pessoais significa elaborar um relatório que contenha a razão ou motivo da coleta de dados sensíveis, como os dados serão tratados, a justificativa da compatibilidade com a razão ou motivo de coleta, bem como os processos da empresa no que tange a mitigação de seus riscos e ainda quais medidas foram colocadas em prática para a proteção de dados.
III. Pessoais; sensíveis; anonimizados; criança e adolescente; direitos e indiretos são categorias de dados que devem ser feitas na categorização dos dados pessoais, a terceira etapa do guia de orientação.
É correto o que se afirma em:
Alternativas:
· a)
I, apenas.
· b)
II, apenas.
· c)
III, apenas.
· d)
I e III, apenas.
· e)
II e III, apenas.
3)
Deve-se considerar que nenhum programa pode ser idêntico a outro, visto que cada empresa tem uma cultura, assume distintos riscos, atende a distintos órgãos reguladores, tem diferentes vulnerabilidades e medidas de segurança.
 
Posto isso, é que existe um guia de orientação para auxiliar a empresa na implementação deste programa e para se utilizar desse guia é necessário seguir os seguintes passos:
 
1. Mapear a forma de entrada e o tratamento de dados.
2. Categorizar os dados pessoais.
3. Mapear o tratamento dos dados e os riscos.
4. Construir o relatório de impacto à proteção de dados.
5. Realizar um estudo da LGPD e demais leis que regulamentam o negócio.
6. Criar a política de proteção de dados e adaptar os documentos internos e externos.
Assinale a alternativa que apresenta a ordem correta dos passos realizados.
Alternativas:
· a)
1 – 3 – 2 – 4 – 5 – 6.
· b)
5 – 3 – 4 – 1 – 6 – 2.
· c)
5 – 1 – 2 – 4 – 3 – 6.
· d)
1 – 5 – 4 – 6 – 3 – 2.
· e)
5 – 1 – 2 – 3 – 4 – 6.
4)
Toda e qualquer empresa, independentemente de seu porte societário, natureza, core business e segmento, conta com diversos contratos, desde contratos sociais e contratos de trabalho a contatos de fornecimento de bens ou produtos e de prestação de serviços.
Sobre contratos, assinale a alternativa correta.
Alternativas:
· a)
Qualquer que seja a modalidade dos contratos haverá um elemento comum entre eles, a coleta de dados pessoais.
· b)
Pode-se que dizer que existe um elemento comum aos contratos, a portabilidade dos dados pessoais.
· c)
Um elemento comum aos contratos é a transmissão dos dados pessoais.
· d)
Dos contratos em geral o elemento que os une é a eliminação dos dados pessoais.
· e)
O que é comum a maioria dos contratos é a transferência internacional de dados pessoais.