Baixe o app para aproveitar ainda mais
Prévia do material em texto
Fundamentos de Segurança da Informação com base na ISO IEC 27001-27002 Fundamentos de Segurança da Informação com base na ISO IEC 27001-27002 Simulado: EX0-105 - Fundamentos de Segurança da Informação com base na ISO IEC 27001-27002 Nível: Fundamentos Versão: 2.0 Conteúdo: 319 perguntas e respostas Idioma: Português Objetivo: Este simulado tem como objetivo prepará-lo para o Exame de Certificaçã Fundamentos de Segurança da Informação com base na ISO IEC 27001-27002. Público Alvo: Gerentes Seniores, Gerentes de empresas de TI, Gerentes de TI, Gestores de Sistema da Informação, Publico de TI em geral (desenvolvimento, testes, suporte, etc) e usuários das áreas de negócio. Pré-Requisito: Ter realizado algum treinamento sobre Fundamentos de Segurança da Informação com base na ISO IEC 27001-27002 Valor da Certificação: Cada vez mais é evidente a diferença de um profissional qualificado, ou ainda, certificado no ambiente de trabalho, e não somente pela forte competitividade e diferenciação no currúculo, mas sim, pela visão que o profissional obtém sobre a empresa e, principalmente, sobre a segurança da informação na TI. A ISO/IEC 27002 Foundation é uma certificação diferenciada no mercado, por isso é importante não apenas se capacitar nas normas, mas também se preparar para o exame de certificação oficial EXIN. Exam A QUESTION 1 Você é o dono da empresa SpeeDelivery. Você emprega algumas pessoas que, enquanto esperam para fazer uma entrega, podem realizar outras tarefas. Você percebe no entanto, que eles usam esse tempo para enviar e ler seus e-mails particulares e navegar na Internet. Em termos legais, de que forma pode ser melhor regulamentada o uso da Internet e e-mail nas instalações? A. Instalando um aplicativo que faz com que alguns sites deixam de estar acessíveis e filtre anexos em e- mails. B. A elaboração de um código de conduta para o uso da Internet e e-mail em que os direitos e obrigações do empregador e do pessoal sejam estabelecidos C. Implementar normas de privacidade. D. Instalar um scanner de vírus. QUESTION 2 Porque é que o ar condicionado deve ser instalado na sala de servidores? A. Na sala de servidor o ar tem deve ser arrefecido e o calor produzido pelos equipamentos tem de ser extraído. O ar na sala também precisa estar desumidificado e filtrado. B. Quando uma empresa deseja resfriar seus escritórios, a sala do servidor é o melhor lugar. Desta forma, não será preciso sacrificar espaço no escritório instalando uma grande peça de tal equipamento. C. Não é agradável para a equipe de manutenção ter que trabalhar em uma sala de servidores que é muito quente. D. As fitas de backup são feitas de plástico fino, que não podem resistir a altas temperaturas. Portanto, se ficar muito quente em uma sala de servidores, elas podem ficar danificadas. QUESTION 3 Quem está autorizado a alterar a classificação de um documento? A. O autor do documento. B. O administrador do documento. C. O dono do documento. D. O gerente do dono do documento. QUESTION 4 A empresa Centro-Oeste Seguros tem tomado muitas medidas para proteger suas informações. Ela utiliza um Sistema de Gestão de Segurança da Informação, a entrada e saída de dados em aplicações é validada, documentos confidenciais são enviadas de forma criptografada e funcionários usam tokens para acessar sistemas de informação. Qual destes não é uma medida técnica? A. Informações do Sistema de Gerenciamento de Segurança B. O uso de tokens para ter acesso aos sistemas de informação. C. Validação de dados de entrada e saída em aplicações. D. Criptografia das informações. QUESTION 5 O que é um exemplo de uma medida de segurança física? A. Um código de conduta que exige pessoal para aderir à política de mesa limpa, garantindo que informações confidenciais não fiquem visíveis sobre a mesa no final do dia de trabalho. B. Uma política de controle de acesso com acessos que devem ser usados de forma visível. C. A criptografia de informações confidenciais. D. Extintores de incêndio especiais com gás inerte, tal como árgon. QUESTION 6 Que medidas de segurança física são necessárias para controlar o acesso às informações da empresa? A. Ar-condicionado. B. Nome de usuário e senha. C. O uso de vidro resistente à quebra e portas com as fechaduras corretas, molduras e dobradiças. D. Proibição de uso de pen drives. QUESTION 7 Por que as organizações têm uma política de segurança da informação? A. Para demonstrar o funcionamento do ciclo P-D-C-A (Plan-Do-Check-Act) ou P-E-V-A (Planejar- Executar-Verificar-Agir) dentro de uma organização. B. A fim de assegurar que o pessoal não infrinja nenhuma lei. C. A fim de dar sentido à forma como a segurança da informação é configurada dentro de uma organização. D. A fim de garantir que todos saibam quem é responsável pela execução dos procedimentos de backup. QUESTION 8 Você trabalha no departamento de TI de uma empresa de médio porte. Informações confidenciais caem em mãos erradas constantemente e isto tem prejudicado a imagem da empresa. Você foi convidado para propor medidas de segurança organizacional para laptops de sua empresa. Qual é o primeiro passo que você deve tomar? A. Formular uma política de mídias móveis (PDAs, laptops, smartphones, pen drives). B. Nomear o pessoal de segurança. C. Criptografar os discos rígidos de laptops e pen drives. D. Estabelecer uma política de controle de acesso. QUESTION 9 Você trabalha para uma grande organização. Você percebe que você tem acesso a informações confidenciais que você não deve ser capaz de acessar em sua posição. Você relata este incidente de segurança para o helpdesk. O ciclo incidente é iniciado. Quais são as fases do ciclo de incidente de segurança? A. Ameaça, Dano, Incidente, Recuperação. B. Ameaça, Dano, Recuperação, Incidentes. C. Ameaça, Incidente, Dano, Recuperação. D. Ameaça, Recuperação, Incidente, Dano. QUESTION 10 A sua organização tem um escritório com espaço para 25 estações de trabalho. Estas estações de trabalho estão totalmente equipadas e em uso. Devido a uma reorganização, 10 estações de trabalho extras foram adicionadas, cinco das quais são utilizadas para uma central de atendimento 24 horas por dia. Outras cinco estações de trabalho devem estar sempre disponíveis. Que medidas de segurança física devem ser tomadas a fim de garantir isso? A. Obter um escritório extra e criar 10 postos de trabalho. Seria portanto dispor de um equipamento de reposição, que pode ser utilizado para substituir algum equipamento não funcional. B. Obter um escritório extra e criar 10 postos de trabalho. Certifique-se de que há pessoal de segurança durante o dia e a noite, para que a equipe possa trabalhar com segurança. C. Obter um escritório extra e conectar todas as 10 novas estações de trabalho a uma fonte de alimentação de emergência e UPS (Uninterruptible Power Supply). Ajustar o sistema de controle de acesso para as horas de trabalho da nova equipe. Informar o pessoal de segurança do edifício que o trabalho será realizado durante o dia e à noite. D. Obter um escritório extra e proporcionar um UPS (Uninterruptible Power Supply) para as cinco estações de trabalho mais importantes. QUESTION 11 Qual das seguintes medidas é uma medida preventiva? A. A instalação de um sistema de registro que permita alterações em um sistema. B. Desligar todo o tráfego de internet depois que um hacker obteve acesso aos sistemas da empresa. C. Manter informações sigilosas a salvo. D. A classificação de um risco aceitável, porque o custo de tratar a ameaça é maior do que o valor da informação em risco. QUESTION 12 Para que é usado a Análise de Risco? A. A análise de risco é usada para expressar o valor das informações para uma organização em termos monetários. B. A análise de risco é usada para esclarecer a gestão de suas responsabilidades. C. Uma análise de risco é usada em conjunto com medidas de segurança para minimizar os riscos para um nível aceitável. D. A análise de risco é usada para garantir que as medidasde segurança são implantadas de forma eficaz e oportuna. QUESTION 13 A análise de risco bem executada oferece uma grande quantidade de informações úteis. A análise de risco tem quatro objetivos principais. Qual destes abaixo não é um dos quatro objetivos principais de uma análise de risco? A. Identificação de ativos e seu valor. B. Determinar as despesas de ameaças. C. Estabelecer um equilíbrio entre os custos de um acidente e os custos de uma medida de segurança. D. Determinar vulnerabilidades e ameaças relevantes. QUESTION 14 Qual é um exemplo de um incidente de segurança? A. A iluminação no departamento não funciona mais. B. Um membro da equipa perde seu laptop. C. Você não pode definir as fontes corretas em seu software de processamento de texto. D. Um arquivo foi salvo com um nome incorreto. QUESTION 15 Qual das seguintes medidas é uma medida corretiva? A. Incorporar um Sistema de Detecção de Intrusão (IDS) no projeto de um centro de informática. B. A instalação de um antivírus em um sistema de informação. C. Fazer um backup dos dados que foram criados ou alterados durante o dia. D. A restauração bem sucedida de um backup do banco de dados após uma cópia corrompida do banco de dados ter escrito sobre o original. QUESTION 16 Podemos adquirir e fornecer informações de várias maneiras. O valor da informação depende se é de confiança. Quais são os aspectos de confiabilidade das informações? A. Disponibilidade, Valor da Informação e Confidencialidade. B. Disponibilidade, Integridade e Confidencialidade. C. Disponibilidade, Integridade e Completude. D. Pontualidade, Precisão e Perfeição. QUESTION 17 Sua empresa tem de garantir que ela atenda aos requisitos estabelecidos na legislação da proteção de dados pessoais. Qual é a primeira coisa que você deve fazer? A. Fazer com que os funcionários sejam responsáveis por enviar seus dados pessoais. B. Traduzir a legislação proteção de dados pessoais em uma política de privacidade que é voltada a a empresa e os contratos com os clientes. C. Nomear uma pessoa responsável por apoiar os gestores na adesão à política. D. Emitir uma proibição da prestação de informações pessoais. QUESTION 18 Que tipo de segurança faz uma oferta de infra-estrutura de chave pública (PKI)? A. Fornecer certificados digitais que possam ser utilizados para assinar digitalmente documentos. Tais assinaturas irrefutavelmente determinam de quem o documento foi enviado. B. Ter um PKI mostra aos clientes que um negócio baseado na web é seguro. C. Ao fornecer contratos, procedimentos e uma estrutura de organização, uma PKI define qual pessoa ou sistema pertence a qual a chave pública específica. D. A PKI garante que backups de dados da empresa são feitas em uma base regular. QUESTION 19 Um funcionário do departamento administrativo do Smiths Consultants Inc. descobre que a data de validade de um contrato com um dos clientes é anterior à data de início. Que tipo de medida poderia evitar esse erro? A. Medida de disponibilidade. B. Medida de integridade. C. Medida de organização. D. Medida técnica. QUESTION 20 Qual é o maior risco para uma organização se nenhuma política de segurança da informação for definida? A. Se todos trabalham com a mesma conta, é impossível descobrir quem trabalhou em quê. B. Atividades de segurança da informação são realizadas por poucas pessoas. C. Muitas medidas serão implementadas. D. Não é possível para uma organização implementar a segurança da informação de uma forma consistente. QUESTION 21 Qual é o objetivo de se classificar as informações? A. Autorizar o uso de um sistema de informação. B. Criar um rótulo que indica como a informação é confidencial. C. Definir diferentes níveis de sensibilidade para a qual as informações poderão ser organizadas. D. Exibir no documento a quem é permitido o acesso. QUESTION 22 O que os funcionários precisam saber para denunciar um incidente de segurança? A. Como relatar um incidente e para quem. B. Se o incidente ocorreu antes e qual foi o dano resultante. C. As medidas que deveriam ter sido tomadas para evitar o incidente em primeiro lugar. D. Quem é o responsável pelo incidente e se foi intencional. QUESTION 23 Você começou a trabalhar em uma grande organização. Você foi convidado a assinar um código de conduta, bem como um contrato. O que a organização deseja alcançar com isso? A. Um código de conduta ajuda a evitar o mau uso de recursos de TI. B. Um código de conduta é uma obrigação legal que as organizações têm de cumprir. C. Um código de conduta impede a propagação de vírus. D. Um código de conduta orienta funcionários sobre como denunciar supostos abusos de instalações de TI. QUESTION 24 Peter trabalha na empresa Centro-Oeste de Seguros. Sua gerente, Linda, pede-lhe para enviar os termos e condições de uma apólice de seguro de vida de Rachel, um cliente. Quem determina o valor da informação em termos de seguro e documentar as condições? A. O destinatário, Rachel. B. A pessoa que elaborou os termos e condições de seguros. C. A gerente, Linda. D. O remetente, Peter. QUESTION 25 Quando estamos em nossa mesa, queremos que o sistema de informação e as informações necessárias para estejam disponíveis. Queremos ser capazes de trabalhar com o computador e acessar a rede e nossos arquivos. Qual é a definição correta de disponibilidade? A. O grau em que a capacidade do sistema é suficiente para permitir que todos os usuários possam trabalhar. B. O grau em que a continuidade de uma organização é garantida. C. O grau em que um sistema de informação está disponível para os usuários. D. A quantidade total de tempo que um sistema de informação é acessível para os usuários. QUESTION 26 Qual é um exemplo de uma ameaça não humana para o ambiente físico? A. Transação fraudulenta. B. Arquivo corrompido. C. Tempestade. D. Virus. QUESTION 27 Na maioria das organizações, o acesso ao computador ou a rede é garantido apenas após o usuário inserir um nome de usuário e senha corretamente. Este processo consiste em três etapas: identificação, autenticação e autorização. Qual é o objetivo do segundo passo, a autenticação? A. Na segunda etapa, você faz o reconhecimento da sua identidade, o que significa que você terá acesso ao sistema. B. A etapa de autenticação verifica o nome de usuário com uma lista de usuários que têm acesso ao sistema. C. O sistema determina se o acesso pode ser concedido por verificar se o token usado é autêntico. D. Durante a etapa de autenticação, o sistema lhe dá os direitos que você precisa, como ser capaz de ler os dados no sistema. QUESTION 28 Qual destes não é um software malicioso? A. Phishing. B. Spyware. C. Virus. D. Worm. QUESTION 29 Algumas ameaças são causadas diretamente por pessoas, outros têm uma causa natural. Qual é um exemplo de uma ameaça humana intencional? A. Relâmpago. B. Incêndio proposital. C. Enchente. D. Perda de um pen drive. QUESTION 30 Qual é a definição de uma expectativa de perda anual? A. A expectativa de perda anual é a quantidade de danos que podem ocorrer como resultado de um acidente durante o ano. B. A expectativa de perda anual é o tamanho do estrago resultante de não ter realizado análises de risco de forma eficaz. C. A expectativa de perda anual é o dano médio calculado pelas companhias de seguros para as empresas de um país. D. A expectativa de perda anual é a quantidade mínima para que uma organização deve estar preparada. QUESTION 31 Qual é a razão mais importante para a aplicação de segregação de funções? A. Segregação de funções faz com que seja claro quem é responsável por quê. B. Separação das funções garante que, quando uma pessoa está ausente, pode ser investigado se ele ou ela tenha cometido alguma fraude. C. Tarefas e responsabilidades devem ser separadas, a fim de minimizar as oportunidades de ativos da empresa a ser utilizada ilicitamente ou alterada, se a mudança for autorizada ou não intencional. D. Segregação de funções faz com que seja mais fácil para umapessoa que está pronta com a sua parte do trabalho para tirar uma folga ou para assumir o trabalho de outra pessoa. QUESTION 32 A ameaça não humana para sistemas de computador pode ser uma inundação. Em que situação uma inundação sempre pode ser uma ameaça relevante? A. Se a análise de risco não foi realizada. B. Quando os sistemas de computador são mantidos em um porão abaixo do nível do solo. C. Quando os sistemas de computador não estão assegurados. D. Quando a organização está localizado perto de um rio. QUESTION 33 Por que é importante o cumprimento da confiabilidade da informação? A. Compliance é uma outra palavra para a confiabilidade. Assim, se uma empresa indica que é confiável, isso significa que a informação é gerida de forma adequada. B. Através do cumprimento dos requisitos legais e os regulamentos do governo e de gestão interna, uma organização mostra que gere a sua informação de uma forma sólida. C. Quando uma organização utiliza um padrão, como a ISO / IEC 27002 e usa em toda parte, é confiável e, portanto, garante a confiabilidade de suas informações. D. Quando uma organização é compatível, ela atende aos requisitos da legislação de privacidade e, ao fazê-lo, protege a confiabilidade de suas informações. QUESTION 34 Você é o dono da empresa SpeeDelivery Courier. Com base na sua análise de risco você decidiu tomar uma série de medidas. Você tem backups diários feitos do servidor, mantem a sala do servidor bloqueada e instala um sistema de alarme de intrusão e um sistema de aspersão. Qual destas medidas é uma medida detectiva? A. Backup. B. Alarme de intrusão. C. Sistema de aspersão. D. Restrição de acesso às salas especiais. QUESTION 35 Qual é a relação entre Dados e Informações? A. Os dados são informações estruturadas. B. A informação é o significado e o valor atribuído a um conjunto de dados. QUESTION 36 Que tipo de malware cria uma rede de computadores contaminados? A. Logic Bomb. B. Storm Worm ou Botnet. C. Trojan. D. Virus. QUESTION 37 Você trabalha no escritório de uma grande empresa. Você recebe um telefonema de uma pessoa que afirma ser do Helpdesk. Ele pede a você pela sua senha. Que tipo de ameaça é essa? A. Ameaça natural. B. Ameaça organizacional. C. Engenharia Social. QUESTION 38 Sua empresa está nos jornais, como resultado de uma ação infeliz de um dos funcionários. Os telefones estão tocando com clientes que querem cancelar seus contratos. Como nós chamamos este tipo de dano? A. Dano direto. B. Dano indireto. QUESTION 39 Um funcionário de uma empresa aérea percebe que não tem acesso a um dos aplicativos da empresa que não foi usado antes. É este um incidente de segurança da informação? A. Sim. B. Não. QUESTION 40 Em que condição um empregador permite verificar se os serviços de Internet e e-mail no local de trabalho estão sendo utilizados para fins privados? A. O empregador tem permissão para verificar isso, se o trabalhador for informado após cada instância de verificação. B. O empregador tem permissão para verificar isso, se os funcionários estão cientes de que isso poderia acontecer. C. O empregador tem permissão para verificar isso, se um firewall também está instalado. D. O empregador não é autorizado a verificar o uso de serviços de TI pelos funcionários. Exam B QUESTION 1 Você tem um pequeno escritório em uma área industrial. Você gostaria de analisar os riscos que a sua empresa enfrenta. O escritório fica em um local muito remoto, portanto, a possibilidade de incêndio criminoso não é totalmente fora de questão. Qual é a relação entre a ameaça do fogo e do risco de incêndio? A. O risco de incêndio é a ameaça do fogo multiplicado pela probabilidade de que pode ocorrer o incêndio e suas conseqüências. B. A ameaça do fogo é o risco de incêndio, multiplicado pela probabilidade de que pode ocorrer o incêndio e suas conseqüências. QUESTION 2 Você trabalha para um empregador flexível que não se importa se você trabalha em casa ou na estrada. Você leva regularmente cópias de documentos com você em um memory stick USB que não é seguro. Quais são as consequências para a confiabilidade das informações, se você perder o seu memory stick USB no trem? A. A integridade dos dados no cartão de memória USB não é garantida. B. A disponibilidade dos dados no cartão de memória USB não é garantida. C. A confidencialidade dos dados no cartão de memória USB não é garantida. QUESTION 3 Qual é a melhor maneira de cumprir a legislação e os regulamentos de proteção de dados pessoais? A. Realizando uma análise de ameaças. B. Manter um registo de incidentes. C. Realizando uma análise de vulnerabilidade. D. Nomear a responsabilidade de alguém. QUESTION 4 Houve um incêndio em uma filial da empresa Centro-Oeste de Seguros. O Corpo de Bombeiros rapidamente chegou ao local e pôde extinguir o fogo antes que ele se espalhasse e queimasse todo o local. O servidor, no entanto, foi destruído pelo fogo. As fitas de backup mantidas em outra sala foram derretidas e muitos outros documentos foram perdidos para sempre. O que é um exemplo de danos indiretos causados por este fogo? A. Fitas de backup derretidas. B. Sistemas de computadores queimados. C. Documentos queimados. D. Danos causados pela água devido aos extintores de incêndio. QUESTION 5 Há uma impressora de rede no corredor da empresa onde você trabalha. Muitos funcionários não pegam suas impressões imediatamente e as deixam na impressora. Quais são as consequências disso para a confiabilidade da informação? A. A integridade das informações não é mais garantida. B. The availability of the information is no longer guaranteed. C. A confidencialidade da informação não é mais garantida. QUESTION 6 Qual é a relação entre Dados e Informações? A. Os dados são informação estruturada. B. A informação é o significado e o valor atribuído a um conjunto de dados. QUESTION 7 O que é uma ameaça humana para a confiabilidade das informações sobre o site da sua empresa? A. Um de seus empregados comete um erro no preço de um produto em seu site. B. O computador que hospeda o seu site está sobrecarregado e falha. Seu site está offline. C. Devido à falta de manutenção em um hidrante, surge um vazamento e inundações nas instalações. Seus funcionários não podem entrar no escritório e, portanto, não podem manter as informações sobre o site atualizadas. QUESTION 8 As notas do relatório mensal de todos os sinistros reclamados por segurados da Midwest Insurance são tratados como confidencial. O que se consegue se todos os outros relatórios deste escritório de seguros também recebem a classificação adequada? A. Os custos para a automatização são mais fáceis de cobrar para os departamentos responsáveis. B. Uma determinação pode ser feita sobre qual relatório deve ser impresso pela primeira vez e que se pode esperar um pouco mais. C. Todos podem facilmente ver o quão sensível o conteúdo dos relatórios são, se consultado a etiqueta de classificação. D. Os relatórios podem ser desenvolvidos com maior facilidade e com menos erros. QUESTION 9 Login em um sistema de computador é um processo de concessão de acesso que consiste em três etapas: Identificação, Autenticação e Autorização. O que ocorre durante a etapa do processo Identificação? A. O primeiro passo consiste em verificar se o usuário está usando o certificado correto. B. O primeiro passo consiste em verificar se o usuário aparece na lista de usuários autorizados. C. O primeiro passo consiste em comparar a senha com a senha registrada. D. O primeiro passo consiste em conceder o acesso à informação que o usuário está autorizado. QUESTION 10 Na organização onde você trabalha, informações de natureza muito sensível são processadas. A Administração está legalmente obrigada a implementar as medidas de segurança ao mais alto nível. Como é chamado este tipo de estratégia de risco? A. Risco de rolamento. B. Evitar o Risco. C. Neutralizar o Risco. QUESTION 11 O ato de tomar medidas de segurança organizacionalestá intimamente ligado com todas as outras medidas que têm de ser tomadas. Qual é o nome do sistema que garante a coerência da segurança da informação na organização? A. Informações do Sistema de Gestão de Segurança (ISGS) / Information Security Management System (ISMS). B. Rootkit. C. Regras de segurança para informações especiais para o governo. QUESTION 12 Você é o proprietário do serviço de correio da SpeeDelivery. Por causa do crescimento da empresa você precisa pensar em segurança da informação. Você sabe que você tem que começar a criar uma política. Por que é tão importante ter uma política de segurança da informação como um ponto de partida? A. A política de segurança da informação dá a direção para os esforços de segurança da informação. B. A política de segurança da informação fornece instruções para a prática diária da segurança da informação. C. A política de segurança da informação estabelece quais dispositivos serão protegidos. D. A política de segurança da informação estabelece quem é responsável por qual área de segurança da informação. QUESTION 13 O que é uma medida de repressão, no caso de um incêndio? A. Fazer um seguro de incêndio. B. Apagar um incêndio depois de ter sido detectado por um detector de incêndio. C. Reparação dos danos causados pelo fogo. QUESTION 14 Os consultores da Smith Consultants Inc. trabalham com laptops, que são protegidos por criptografia assimétrica. Para manter a gestão das chaves a um custo baixo, todos os consultores usar o mesmo par de chaves. Qual é o risco da empresa se eles funcionam dessa maneira? A. Se a chave privada se tornar conhecida, deve-se fornecer novas chaves para todos os laptops. B. Se a Infraestrutura de Chave Pública (ICP) ou Public Key Infrastructure (PKI) torna-se conhecida, deve- se fornecer novas chaves para todos os laptops. C. Se a chave pública for descoberta, todos os laptops devem ser fornecidos com novas chaves. QUESTION 15 Você é o proprietário de uma empresa em crescimento, SpeeDelivery, que fornece serviços de correio. Você decide que é hora de elaborar uma análise de risco para o seu sistema de informação. Isto inclui um inventário das ameaças e riscos. Qual é a relação entre a análise de ameaças, riscos e análises risco? A. A análise de risco identifica ameaças dos riscos conhecidos. B. A análise de risco é usada para esclarecer quais as ameaças são relevantes e quais os riscos que eles envolvem. C. Uma análise de risco é usada para remover o risco de uma ameaça. D. As análises de risco ajudam a encontrar um equilíbrio entre as ameaças e riscos. QUESTION 16 Você se candidata a um cargo em outra empresa consegue o trabalho. Junto com seu contrato, você é solicitado a assinar um código de conduta. O que é um código de conduta? A. Um código de conduta especifica como os funcionários devem se comportar e é o mesmo para todas as empresas. B. Um código de conduta é uma parte normal do contrato de trabalho. C. Um código de conduta difere de empresa para empresa e especifica, entre outras coisas, as regras de comportamento no que diz respeito ao uso de sistemas de informação. QUESTION 17 Meu perfil do usuário especifica quais unidades de rede que eu posso ler e escrever. Qual é o nome do tipo de gerenciamento de acesso lógico que em meu acesso e direitos são determinados centralmente? A. Controle de Acesso Discricionário (DAD) ou Access Control (DAC). B. Controle de Acesso Mandatório (CAM) ou Mandatory Access Control (MAC). C. Infraestrutura de Chave Pública (ICP) ou Public Key Infrastructure (PKI). QUESTION 18 Algumas medidas de segurança são opcionais. Devem sempre ser tomadas outras medidas de segurança. Quais as medidas que devem ser sempre implementadas? A. Política de mesa limpa. B. Medidas de segurança física. C. Medidas de segurança de acesso lógico. D. Medidas exigidas por leis e regulamentos. QUESTION 19 A Centro-Oeste Seguros controla o acesso a seus escritórios com um sistema de senha. Chamamos isso de uma medida preventiva. Quais são algumas outras medidas? A. Detecção, medidas repressivas e corretivas. B. Medidas parciais, adaptativas e corretivas. C. Medidas repressivas, adaptativas e corretivas. QUESTION 20 Você é o proprietário do serviço de correio SpeeDelivery. No ano passado, você tinha um firewall instalado. Agora você descobre que a manutenção não foi executada desde a instalação. Qual é o maior risco por causa disso? A. O risco de que hackers podem fazer o que quiserem na rede sem detecção. B. O risco de que o fogo pode sair na sala do servidor. C. O risco de uma epidemia de vírus. D. O risco de e-mails indesejados. QUESTION 21 Alguns anos atrás, você começou a sua empresa que já cresceu entre 1 a 20 funcionários. Suas informações da empresa valem mais e mais e já são muitos os dias em que você poderia manter tudo isso sobre controle. Você está ciente de que você tem que tomar medidas, mas o que deve ser feito? Você contrata um consultor que aconselha a começar com uma análise de risco qualitativa. O que é uma análise qualitativa de riscos? A. Esta análise segue um cálculo de probabilidade estatística precisa, a fim de calcular a perda exata causada por danos. B. Esta análise é baseada em cenários e situações e produz uma visão subjetiva das possíveis ameaças. QUESTION 22 Susan envia um e-mail para Paul. Quem determina o significado e o valor da informação contida neste e-mail? A. Paul, o receptor da informação. B. Paul e Susan, o remetente e o destinatário da informação. C. Susan, o remetente da informação. QUESTION 23 Qual medida garante que informações valiosas não ficam expostas e disponíveis para acesso? A. Política de mesa limpa. B. Detecção por infravermelho. C. Passe de acesso. QUESTION 24 O que é um exemplo de uma boa medida de segurança física? A. Todos os funcionários e visitantes munidos de um cartão de acesso. B. Impressoras que estão com defeito ou foram substituídas são imediatamente removidas e dadas como lixo para reciclagem. C. Pode ser dado acesso rápido e desimpedido para a área do servidor em caso de desastre para a equipe de manutenção. QUESTION 25 Você leu nos jornais que o ex-empregado de uma grande empresa sistematicamente eliminou arquivos por vingança contra o seu gerente. Recuperar esses arquivos causou grandes perdas de tempo e dinheiro. Como é chamado este tipo de ameaça? A. Ameaça humana. B. Ameaça natural. C. Engenharia social. QUESTION 26 O que é um ato legislativo ou regulamentar relacionado à segurança da informação que pode ser imposto a todas as organizações? A. ISO/IEC 27001:2005. B. Direitos de Propriedade Intelectual. C. ISO/IEC 27002:2005. D. Legislação de proteção de dados pessoais. QUESTION 27 Você é o primeiro a chegar ao trabalho de manhã e percebe que o CD-ROM em que você salvou os contratos ontem desapareceu. Você foi o último a sair ontem. Quando você deve relatar o incidente de segurança da informação? A. Este incidente deve ser relatado imediatamente. B. Você deve primeiro investigar este incidente por si mesmo e tentar limitar os danos. C. Você deve esperar alguns dias antes de relatar o incidente. O CD-ROM ainda pode reaparecer e, nesse caso, você terá feito um barulho por nada. QUESTION 28 Uma empresa holandesa requisitou ser listada na Bolsa de Valores Americana. Qual a legislação no âmbito da segurança da informação é relevante neste caso? A. Lei de Registros Públicos. B. Direito Tributário holandês. C. Lei Sarbanes-Oxley. D. Regras de segurança para o governo holandês. QUESTION 29 Você possui uma pequena empresa em uma área industrial remota. Ultimamente, o alarme se desliga regularmente no meio da noite. Leva um pouco de tempo para obter uma resposta de funcionamento e o equipamento sempre emite falsos alarmes. Você decide montar uma câmera escondida. Como se chama uma medida desse tipo? A. Medida de detecção. B. Medida preventiva. C. Medida repressiva. QUESTION 30 Na Centro-Oeste Seguros, todas as informações são confidenciais.Qual é o objetivo desta classificação de informação? A. Para criar um guia sobre como lidar com dispositivos móveis. B. Aplicação de etiquetas que tornam a informação mais fácil de reconhecer. C. Estruturação da informação de acordo com a sua sensibilidade. QUESTION 31 Qual das ameaças listadas abaixo podem ocorrer como resultado da ausência de um ato físico? A. Um usuário pode visualizar os arquivos pertencentes a outro usuário. B. Um servidor é desligado devido superaquecimento. C. Um documento confidencial é deixado na impressora. D. Hackers podem entrar livremente na rede de computadores. QUESTION 32 Qual é a melhor descrição de uma análise de risco? A. A análise de risco é um método de mapeamento de riscos, sem olhar para os processos da empresa. B. A análise de risco ajuda a estimar os riscos e desenvolver as medidas de segurança apropriadas. C. A análise de risco calcula as consequências financeiras exatas de perdas e danos. QUESTION 33 Qual é o objetivo da política de segurança de uma organização? A. Para fornecer orientação e apoio para a segurança da informação. B. Para definir todas as ameaças e medidas para garantir a segurança da informação. C. Para documentar todos os incidentes que ameaçam a confiabilidade da informação. D. Para documentar todos os procedimentos necessários para manter a segurança da informação. QUESTION 34 O Gerente de Segurança da Informação (GSI) da Smith Consultants Inc. introduz as seguintes medidas para garantir a segurança da informação: Os requisitos de segurança para a rede são especificados. Um ambiente de teste é criado com a finalidade de relatórios de testes que vêm do banco de dados. São atribuídos direitos de acesso correspondentes as diversas funções dos empregados. Passes de acesso RFID são introduzidos no edifício. Qual destas medidas não é uma medida técnica? A. A especificação dos requisitos para a rede. B. A criação de um ambiente de teste. C. Introdução de uma política de acesso lógico. D. Introdução de acesso RFID. QUESTION 35 Uma empresa se muda para um novo edifício. Algumas semanas após a mudança, um visitante aparece sem avisar no escritório do diretor. Uma investigação mostra que os visitantes passam a ter o mesmo tipo de acesso dos funcionários da empresa. Que tipo de medida de segurança poderia ter evitado isso? A. Uma medida de segurança física. B. Uma medida de segurança organizacional. C. Uma medida de segurança técnica. QUESTION 36 Você tem um escritório que projeta logotipos corporativos. Você foi trabalhar num projeto para um grande cliente. Exatamente quando você está indo pressionar o botão Salvar, a tela fica em branco. O disco rígido está danificado e não pode ser reparado. Você encontra uma versão inicial do projeto em seu e-mail e você reproduz o projeto para o cliente. Como é chamado uma medida desse tipo? A. Medida corretiva. B. Medida preventiva. C. Medida redutiva. QUESTION 37 Você é o dono da empresa SpeeDelivery courier. Você realizou uma análise de risco e agora querem determinar a sua estratégia de risco. Você decide tomar medidas para os grandes riscos, mas não para os pequenos riscos. Como é chamado essa estratégia de risco? A. Risco de rolamento. B. Evitar arriscar. C. Neutro ao risco. QUESTION 38 Três características determinam a confiabilidade das informações. Que características são essas? A. Disponibilidade, integridade e exatidão. B. Disponibilidade, integridade e confidencialidade. C. Disponibilidade, não-repúdio e confidencialidade. QUESTION 39 Quais medidas são uma ameaça humana intencional? A. Incêndio proposital. B. Roubo de um laptop. C. Engenharia social. D. Uso incorreto de equipamentos como o extintor de incêndio. Exam C QUESTION 1 Qual a relação entre dados e informações? A. Dados são informações estruturadas. B. Informações são o significado e o valor atribuídos a uma coleção de dados. QUESTION 2 A fim de ter uma apólice de seguro de incêndio, o departamento administrativo deve determinar o valor dos dados que gerencia. Qual fator não é importante para determinar o valor dos dados para uma organização? A. O conteúdo dos dados. B. O grau em que, dados ausentes incompletos ou incorretos podem ser recuperados. C. A indispensabilidade dos dados para os processos de negócio. D. Importância dos processos de negócios que fazem uso dos dados. QUESTION 3 Um hacker obtém acesso a um servidor Web e pode exibir um arquivo no servidor que contém números de cartão de crédito. Quais princípios de confidencialidade, integridade e disponibilidade (CIA) do arquivo de cartão de crédito são violados? A. Disponibilidade. B. Confidencialidade. C. Integridade. QUESTION 4 Existe uma impressora de rede no corredor da empresa onde você trabalha. Muitos funcionários não vão pegar suas impressões imediatamente e deixam o material na impressora. Quais são as consequências disto com relação à confiabilidade das informações? A. A integridade das informações não pode mais ser garantida. B. A disponibilidade das informações não pode mais ser garantida. C. A confidencialidade das informações não pode mais ser garantida. QUESTION 5 Qual das abaixo não é um dos quatro principais objetivos da análise de risco? A. Identificação dos ativos e seus valores. B. Implementação de contramedidas. C. Estabelecimento do equilíbrio entre os custos de um incidente e os custos de medidas de segurança. D. Determinação de vulnerabilidades e ameaças relevantes. QUESTION 6 Um departamento administrativo vai determinar os riscos aos quais está exposto. Como denominamos um possível evento que possa comprometer a confiabilidade da informação? A. Dependência. B. Ameaça. C. Vulnerabilidade. D. Risco. QUESTION 7 Qual é o propósito do gerenciamento de risco? A. Determinar a probabilidade de ocorrência de um certo risco. B. Determinar os danos causados por possíveis incidentes de segurança. C. Delinear as ameaças a que estão expostos os recursos de TI. D. Utilizar medidas para reduzir os riscos para um nível aceitável. QUESTION 8 Há alguns anos você começou sua empresa, que já cresceu de 1 para 20 empregados. As informações de sua empresa valem mais e mais e já passaram os dias em que você podia manter tudo em suas próprias mãos. Você está ciente de que precisa tomar medidas, mas quais? Você contrata um consultor, que o aconselha a começar com uma análise de risco qualitativa. O que é uma análise de risco qualitativa? A. Esta análise segue um cálculo preciso de probabilidade estatística a fim de calcular a exata perda causada pelo dano. B. Esta análise é baseada em cenários e situações e produz uma visão subjetiva de possíveis ameaças. QUESTION 9 Houve um incêndio em uma filial da companhia Midwest Insurance. Os bombeiros chegaram rapidamente ao local e puderam apagar o fogo antes que se espalhasse e queimasse toda a instalação. O servidor, entretanto, foi destruído pelo fogo. As fitas de segurança (backup) mantidas em outra sala derreteram e muitos outros documentos foram perdidos definitivamente. Qual é um exemplo de dano indireto causado pelo incêndio? A. Fitas de segurança (backup) derretidas. B. Sistemas de computação queimados. C. Documentos queimados. D. Danos provocados pela água dos extintores de incêndio. QUESTION 10 Você é o proprietário de uma companhia de correio (courier), SpeeDelivery. Você realizou uma análise de risco e agora quer determinar sua estratégia de risco. Você decide tomar medidas contra os grandes riscos, mas não contra os pequenos riscos. Como é chamada a estratégia de risco adotada neste caso? A. Retenção de risco. B. Prevenção de risco. C. Redução de risco. QUESTION 11 O que é um exemplo de uma ameaça humana? A. Um pen drive que passa vírus para a rede. B. Muito pó na sala do servidor. C. Um vazamento que causa uma falha no fornecimento de eletricidade. QUESTION 12 O que é um exemplo de uma ameaça humana? A. Um relâmpago. B. Fogo. C. Phishing. QUESTION 13 Você trabalha no escritório de umagrande companhia. Você recebe um telefonema de uma pessoa dizendo ser do helpdesk. Ela pede para que você lhe diga sua senha. Que tipo de ameaça é esta? A. Ameaça natural. B. Ameaça organizacional. C. Engenharia social. QUESTION 14 Um incêndio interrompe os trabalhos da filial de uma empresa de seguros de saúde. Os funcionários são transferidos para escritórios vizinhos para continuar seu trabalho. No ciclo de vida do incidente, onde são encontrados os acordos stand-by (plano de contingência)? A. Entre a ameaça e o incidente. B. Entre a recuperação e a ameaça. C. Entre os danos e a recuperação. D. Entre o incidente e os danos. QUESTION 15 Informações envolvem inúmeros aspectos de confiabilidade, a qual é constantemente ameaçada. Exemplos de ameaças são: um cabo se soltar, informações alteradas por acidente, dados que são usados para fins particulares ou falsificados. Qual destes exemplos é uma ameaça à confidencialidade? A. Um cabo solto. B. Exclusão acidental de dados. C. Utilização privada de dados. QUESTION 16 Um funcionário nega o envio de uma mensagem específica. Qual o aspecto de confiabilidade da informação está em risco aqui? A. Disponibilidade. B. Exatidão. C. Integridade. D. Confidencialidade. QUESTION 17 Qual a melhor maneira de descrever o objetivo da política de segurança da informação? A. A política documenta a análise de riscos e a busca de contramedidas. B. A política fornece orientação e apoio à gestão em matéria de segurança da informação. C. A política torna o plano de segurança concreto, fornecendo-lhe os detalhes necessários. D. A política fornece percepções sobre as ameaças e as possíveis consequências. QUESTION 18 Um incidente de segurança relacionado com um servidor Web é relatado a um funcionário do helpdesk. Sua colega tem mais experiência em servidores Web; então, ele transfere o caso para ela. Qual termo descreve essa transferência? A. Escalonamento funcional. B. Escalonamento hierárquico. QUESTION 19 Uma funcionária trabalhador de uma companhia de seguros descobre que a data de validade de uma política foi alterada sem seu conhecimento. Ela é a única pessoa autorizada a fazer isso. Ela relata este incidente de segurança ao helpdesk. O atendente do helpdesk registra as seguintes informações sobre este incidente: - data e hora - descrição do incidente - possíveis consequências do incidente Qual a informação mais importante sobre o incidente está faltando aqui? A. O nome da pessoa que denunciou o incidente. B. O nome do pacote de software. C. O número do PC. D. Uma lista de pessoas que foram informadas sobre o incidente. QUESTION 20 No ciclo de incidente há quatro etapas sucessivas. Qual é a etapa que sucede o incidente? A. Ameaça. B. Dano. C. Recuperação. QUESTION 21 Qual das seguintes medidas é uma medida preventiva? A. Instalação de um sistema de registro de eventos (log) que permite que mudanças em um sistema sejam reconhecidas. B. Desativação de todo tráfego internet depois que um hacker ganhou acesso aos sistemas da companhia. C. Armazenamento de informações sigilosas em um cofre. QUESTION 22 Qual das opções abaixo é uma medida repressiva em caso de incêndio? A. Fazer um seguro contra incêndio. B. Apagar o fogo depois que o incêndio for detectado pelo detector de incêndio. C. Reparar os danos causados pelo incêndio. QUESTION 23 Qual é o objetivo da classificação da informação? A. Criar um manual sobre como manusear dispositivos móveis. B. Aplicar identificações que facilitem o reconhecimento das informações. C. Estruturar as informações de acordo com sua confidencialidade QUESTION 24 Quem é autorizado a mudar a classificação de um documento? A. O autor do documento. B. O administrador do documento. C. O proprietário do documento. D. O gerente do proprietário do documento. QUESTION 25 O acesso à sala de computadores está bloqueado por um leitor de crachás. Somente o Departamento de Gerenciamento de Sistemas tem um crachá. Que tipo de medida de segurança é essa? A. Uma medida de segurança corretiva. B. Uma medida de segurança física. C. Uma medida de segurança lógica. D. Uma medida de segurança repressiva. QUESTION 26 A autenticação forte é necessária para acessar áreas altamente protegidas. Em caso de autenticação forte a identidade de uma pessoa é verificada através de três fatores. Qual fator é verificado quando é preciso mostrar um crachá de acesso? A. Algo que você é. B. Algo que você tem. C. Algo que você sabe. QUESTION 27 Na segurança física, múltiplas zonas em expansão (anéis de proteção) podem ser aplicadas, nas quais diferentes medidas podem ser adotadas. O que não é um anel de proteção? A. Edifício. B. Anel médio. C. Objeto. D. Anel externo. QUESTION 28 Qual das ameaças listadas abaixo pode ocorrer como resultado da ausência de uma medida de segurança física? A. Um usuário pode ver os arquivos pertencentes a outro. B. Um servidor é desligado por causa de superaquecimento. C. Um documento confidencial é deixado na impressora. D. Hackers podem entrar livremente na rede de computadores. QUESTION 29 Qual das seguintes medidas de segurança é uma medida técnica? A. Atribuição de informações a um proprietário. B. Criptografia de arquivos. C. Criação de uma política que define o que é e não é permitido no e-mail. D. Armazenamento de senhas de gerenciamento do sistema em um cofre. QUESTION 30 As cópias de segurança (backup) do servidor central são mantidas na mesma sala fechada que o servidor. Que risco a organização enfrenta? A. Se o servidor falhar, levará um longo tempo antes que o servidor esteja novamente em funcionamento. B. Em caso de incêndio, é impossível recuperar o sistema ao seu estado anterior. C. Ninguém é responsável pelos backups. D. Pessoas não autorizadas têm acesso fácil aos backups. QUESTION 31 Que tipo de malware cria uma rede de computadores contaminados? A. Bomba Lógica. B. Storm Worm ou Botnet. C. Cavalo de Troia. D. Spyware. QUESTION 32 Em uma organização, o agente de segurança detecta que a estação de trabalho de um funcionário está infectada com software malicioso. O software malicioso foi instalado como resultado de um ataque direcionado de phishing. Qual ação é a mais benéfica para evitar esses incidentes no futuro? A. Implementar a tecnologia MAC. B. Iniciar um programa de conscientização de segurança. C. Atualizar as regras do firewall D. Atualizar as assinaturas do filtro de spam. QUESTION 33 Você trabalha no departamento de TI de uma empresa de tamanho médio. Informações confidenciais têm caído em mãos erradas por várias vezes. Isso tem prejudicado a imagem da companhia. Você foi solicitado a propor medidas de segurança organizacional em laptops para sua companhia. Qual o primeiro passo que você deveria dar? A. Formular uma política para tratar da segurança de dispositivos móveis (PDAs, laptops, smartphones, pen drive). B. Designar uma equipe de segurança. C. Criptografar os discos rígidos dos laptops e mídias de armazenamento externo, como pen drives. D. Estabelecer uma política de controle de acesso. QUESTION 34 Qual é o nome do sistema que garante a coerência da segurança da informação na organização? A. Sistema de Gestão de Segurança da Informação (ISMS). B. Rootkit. C. Regulamentos de segurança para informações especiais do governo. QUESTION 35 Como se chama o processo de “definir se a identidade de alguém é correta”? A. Autenticação. B. Autorização. C. Identificação. QUESTION 36 Por que é necessário manter um plano de recuperação de desastres atualizados e testá-lo regularmente? A. A fim de sempre ter acesso às cópias de segurança (backups) recentes, que estão localizadas fora do escritório. B. Para ser capaz de lidar com as falhas que ocorrem diariamente. C. Porque, de outra forma, na eventualidade de uma grande interrupção, as medidas tomadas e os procedimentos previstos podem não ser adequados ou podem estar desatualizados. D. Porque isso é exigido pela Lei de Proteçãode Dados Pessoais. QUESTION 37 Com base em qual legislação alguém pode pedir para inspecionar seus dados pessoais que tenham sido registrados? A. A Lei de Registros Públicos. B. A Lei de Proteção de Dados Pessoais. C. A Lei de Crimes de Informática. D. A Lei de Acesso Público a Informações do Governo. QUESTION 38 Qual é a legislação ou ato regulatório relacionado à segurança da informação que pode ser imposto a todas as organizações? A. Direito de Propriedade Intelectual. B. ISO/IEC 27001:2005. C. ISO/IEC 27002:2005. D. Legislação de proteção de dados pessoais. QUESTION 39 Você é o proprietário de uma companhia de correio (courier), SpeeDelivery. Você emprega algumas pessoas que, enquanto esperam para fazer as entregas, podem realizar outras tarefas. Você percebe, no entanto, que eles usam esse tempo para enviar e ler seus e-mails particulares e navegar na Internet. Em termos legais, de que forma o uso da internet e do e-mail pode ser melhor regulado? A. Instalando um aplicativo que impeça o acesso a certos sites da Internet e que realizem filtragem em arquivos anexados a e-mails. B. Elaborando um código de conduta para o uso da internet e do e-mail, no qual os direitos e obrigações tanto do empregador quanto dos empregados estejam claramente declarados. C. Implementando normas de privacidade. D. Instalando rastreadores de vírus. QUESTION 40 Em quais condições é permitido a um empregador verificar se os serviços de Internet e e-mail no ambiente de trabalho estão sendo utilizados para finalidades pessoais? A. O empregador poderá fazer essa verificação, se o funcionário for informado depois de cada sessão de verificação. B. O empregador poderá fazer essa verificação se os funcionários forem informados que isso pode acontecer. C. O empregador poderá fazer essa verificação se um firewall também estiver instalado. Exam D QUESTION 1 Você recebeu do seu contador uma cópia da sua declaração fiscal e deve verificar se os dados estão corretos. Qual característica de confiabilidade da informação que você está verificando? A. Disponibilidade. B. Exclusividade. C. Integridade. D. Confidencialidade. QUESTION 2 A fim de ter uma apólice de seguro de incêndio, o departamento administrativo deve determinar o valor dos dados que ele gerencia. Qual fator não é importante para determinar o valor de dados para uma organização? A. O conteúdo dos dados. B. O grau em que a falta, dados incompletos ou incorretos podem ser recuperados. C. A indispensabilidade dos dados para os processos de negócio. D. importância dos processos de negócios que fazem uso dos dados. QUESTION 3 Nosso acesso à informação é cada vez mais fácil. Ainda assim, a informação tem de ser confiável, a fim de ser utilizável. O que não é um aspecto de confiabilidade da informação? A. Disponibilidade. B. Integridade. C. Quantidade. D. Confidencialidade. QUESTION 4 "Completeza" faz parte de qual aspecto de confiabilidade da informação? A. Disponibilidade. B. Exclusividade. C. Integridade. D. Confidencialidade. QUESTION 5 Um departamento administrativo vai determinar os perigos aos quais está exposto. O que chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? A. Dependência. B. Ameaça. C. Vulnerabilidade. D. Risco. QUESTION 6 Qual é o propósito do gerenciamento de risco? A. Determinar a probabilidade de que um certo risco ocorrerá. B. Determinar os danos causados por possíveis incidentes de segurança. C. Delinear as ameaças a que estão expostos os recursos de TI. D. Utilizar medidas para reduzir os riscos para um nível aceitável. QUESTION 7 Qual das afirmações sobre a análise de risco é a correta? 1. Riscos que são apresentados em uma análise de risco podem ser classificados. 2. Numa análise de risco todos os detalhes têm que ser considerados. 3. A análise de risco limita-se à disponibilidade. 4. A análise de risco é simples de efetuar através do preenchimento de um pequeno questionário padrão com perguntas padrão. A. 1. B. 2. C. 3. D. 4. QUESTION 8 Qual dos exemplos abaixo pode ser classificado como fraude? 1. Infectar um computador com um vírus. 2. Realização de uma operação não autorizada 3. Divulgação de linhas de comunicação e redes. 4. Utilização da Internet no trabalho para fins privados. A. 1. B. 2. C. 3. D. 4. QUESTION 9 Um risco possível para uma empresa é dano por incêndio. Se essa ameaça ocorre, isto é, se um incêndio na verdade eclode, danos diretos e indiretos podem ocorrer. O que é um exemplo de prejuízo direto? A. Um banco de dados é destruído. B. Perda de imagem. C. Perda de confiança do cliente. D. Obrigações legais não podem mais ser satisfeitas. QUESTION 10 A fim de reduzir os riscos, uma empresa decide optar por uma estratégia de um conjunto de medidas. Uma das medidas é que um acordo stand-by é organizado para a empresa. A que tipo de medidas um acordo stand-by pertence? A. Medidas corretivas. B. Medidas detectivas. C. Medidas preventivas. D. Medidas repressivas. QUESTION 11 O que é um exemplo de uma ameaça humana? A. Um pen drive que passa vírus para a rede. B. Muito pó na sala do servidor. C. Um vazamento que causa uma falha no fornecimento de eletricidade. QUESTION 12 O que é um exemplo de uma ameaça humana? A. Um apagão B. Fogo C. Phishing QUESTION 13 A confiabilidade é constantemente ameaçada. Exemplos de ameaças são: um cabo se soltar, a informação que alguém altera por acidente, dados que são usados para fins particulares ou falsificados. Qual destes exemplos é uma ameaça à confidencialidade? A. Um cabo solto. B. Exclusão acidental de dados. C. Utilização privada de dados. D. Falsificação de dados. QUESTION 14 Um empregado nega o envio de uma mensagem específica. Qual o aspecto de confiabilidade da informação está em perigo aqui? A. Disponibilidade. B. Exatidão. C. Integridade. D. Confidencialidade. QUESTION 15 No ciclo de incidente há quatro etapas sucessivas. Qual é a ordem dessas etapas? A. Ameaça, Dano, Incidente, Recuperação. B. Ameaça, Incidente, Dano, Recuperação. C. Incidente, Ameaça, Dano, Recuperação. D. Incidente, Recuperação, Dano, Ameaça. QUESTION 16 Um incêndio interrompe os trabalhos da filial de uma empresa de seguros de saúde. Os funcionários são transferidos para escritórios vizinhos para continuar seu trabalho. No ciclo de vida do incidente, onde são encontrados os arranjos de continuidade? A. Entre a ameaça e o incidente. B. Entre a recuperação e a ameaça. C. Entre o dano e a recuperação. D. Entre o incidente e os danos. QUESTION 17 Como é melhor descrito o objetivo da política de segurança da informação? A. A política documenta a análise de riscos e a busca de medidas de contorno. B. A política fornece orientação e apoio à gestão em matéria de segurança da informação. C. A política torna o plano de segurança concreto, fornecendo-lhe os detalhes necessários. D. A política fornece percepções sobre as ameaças e as possíveis consequências. QUESTION 18 O código de conduta para os negócios eletrônicos (e-business) é baseado em uma série de princípios. Quais dos seguintes princípios não pertencem? A. Confiabilidade. B. Registro. C. Confidencialidade e privacidade. QUESTION 19 Um trabalhador da companhia de seguros Euregio descobre que a data de validade de uma política foi alterada sem seu conhecimento. Ela é a única pessoa autorizada a fazer isso. Ela relata este incidente de segurança ao Helpdesk. O atendente do help desk registra as seguintes informações sobre este incidente: - data e hora - descrição do incidente - possíveis conseqüências do incidente Que informação importante sobre o incidente está faltando aqui? A. O nome da pessoa que denunciou o incidente. B. O nome do pacote de software. C. O número do PC. D. Uma lista de pessoas que foram informadas sobre o incidente. QUESTION 20 Uma empresa experimenta os seguintes incidentes: 1. Um alarme de incêndio não funciona. 2. A rede é invadida. 3. Alguém finge ser ummembro do quadro de pessoal. 4. Um arquivo no computador não pode ser convertido em um arquivo PDF. Qual destes incidentes não é um incidente de segurança? A. 1. B. 2. C. 3. D. 4. QUESTION 21 As medidas de segurança podem ser agrupadas de várias maneiras. Qual das seguintes é correta? A. Física, lógica, preventiva. B. Lógica repressiva, preventiva. C. Organizacional, preventiva, corretiva, física. D. Preventiva, detectiva, repressiva, corretiva. QUESTION 22 Um alarme de fumaça é colocado em uma sala de computadores. Sob qual categoria de medidas de segurança este item se enquadra? A. Corretiva. B. Detectiva. C. Organizacional. D. Preventiva. QUESTION 23 O Security Officer (ISO-Information Security Officer), da companhia de seguros Euregio deseja ter uma lista de medidas de segurança em conjunto. O que ele tem que fazer, primeiramente, antes de selecionar as medidas de segurança a serem implementadas? A. Implantar o monitoramento. B. Realizar uma avaliação. C. Formular uma política de segurança da informação. D. Realizar uma análise de risco. QUESTION 24 Qual é a finalidade da classificação das informações? A. Determinar quais tipos de informações podem requerer diferentes níveis de proteção. B. Atribuir informações a um proprietário. C. Reduzir os riscos de erro humano. D. Impedir o acesso não autorizado a informações. QUESTION 25 A autenticação forte é necessária para acessar áreas altamente protegidas. Em caso de autenticação forte a identidade de uma pessoa é verificada através de três fatores. Qual fator é verificado quando é preciso digitar um número de identificação pessoal (PIN)? A. Algo que você é B. Algo que você tem C. Algo que você sabe QUESTION 26 O acesso à sala de computadores está fechado usando um leitor de crachás. Somente o Departamento de Sistemas de Gestão tem um crachá. Que tipo de medida de segurança é essa? A. Uma medida de segurança de correção. B. Uma medida de segurança física. C. Uma medida de segurança lógica. D. Uma medida de segurança repressiva. QUESTION 27 Quatro membros do pessoal do departamento de TI compartilham um mesmo crachá. A que risco este fato pode levar? A. Se a energia falhar, os computadores vão ficar fora. B. Se houver fogo os extintores de incêndio não podem ser usados. C. Se alguma coisa desaparecer da sala de informática, não vai ficar claro quem é responsável. D. Pessoas não autorizadas podem ter acesso à sala de computadores sem serem vistas. QUESTION 28 No salão de recepção de um escritório da administração, há uma impressora que todos os funcionários podem usar em caso de emergência. O arranjo é que as impressões devem ser recolhidas imediatamente, para que elas não possam ser levadas por um visitante. Qual outro risco para a informação da empresa que esta situação traz? A. Os arquivos podem permanecer na memória da impressora. B. Visitantes seriam capazes de copiar e imprimir as informações confidenciais da rede. C. A impressora pode tornar-se deficiente através do uso excessivo, de modo que já não estará disponível para uso. QUESTION 29 Qual das seguintes medidas de segurança é uma medida técnica? 1. Atribuição de Informações a um dono 2. Criptografia de arquivos 3. Criação de uma política de definição do que é e não é permitido no e-mail 4. Senhas do sistema de gestão armazenadas em um cofre A. 1. B. 2. C. 3. D. 4. QUESTION 30 As cópias de segurança (backup) do servidor central são mantidas na mesma sala fechada como o servidor. Que risco a organização enfrenta? A. Se o servidor falhar, levará um longo tempo antes que o servidor esteja novamente operacional. B. Em caso de incêndio, é impossível obter o sistema de volta ao seu estado anterior. C. Ninguém é responsável pelos backups. D. Pessoas não autorizadas têm acesso fácil para os backups. QUESTION 31 Qual das tecnologias abaixo é maliciosa? A. Criptografia. B. Hash. C. Virtual Private Network (VPN). D. Vírus, worms e spyware. QUESTION 32 Que medida não ajuda contra software mal-intencionado? A. Uma política ativa de correções. B. Um programa anti-spyware. C. Um filtro anti-spam. D. Uma senha. QUESTION 33 O que é um exemplo de medida organizacional? A. Cópia de segurança (backup) de dados. B. Criptografia. C. Segregação de funções. D. Manutenção de equipamentos de rede e caixas de junção em uma sala trancada. QUESTION 34 A identificação é determinar se a identidade de alguém é correta. Esta declaração é correta? A. Sim. B. Não. QUESTION 35 Por que é necessário manter um plano de recuperação de desastres atualizados e testá-lo regularmente? A. A fim de sempre ter acesso às cópias de segurança (backups) recentes, que estão localizadas fora do escritório. B. Para ser capaz de lidar com as falhas que ocorrem diariamente. C. Porque de outra forma, na eventualidade de uma ruptura muito grande, as medidas tomadas e os procedimentos previstos podem não ser adequados ou podem estar desatualizados. D. Porque esta é exigida pela Lei de Proteção de Dados Pessoais. QUESTION 36 O que é a autorização? A. A determinação da identidade de uma pessoa. B. O registro das ações realizadas. C. A verificação da identidade de uma pessoa. D. A concessão de direitos específicos, tais como o acesso seletivo para uma pessoa. QUESTION 37 Qual norma legal importante na área de segurança da informação que o governo tem que cumprir? A. Análise de dependência e vulnerabilidade B. ISO/IEC 20000 C. ISO/IEC 27002 D. Leislação nacional de segurança de informação ou regulamentos. QUESTION 38 Com base em qual legislação alguém pode pedir para inspecionar os dados que tenham sido registrados? A. A Lei de Registros Públicos. B. A Lei de Proteção de Dados Pessoais. C. A Lei de Crimes de Informática. D. A Lei de Acesso Público a Informações do Governo. QUESTION 39 O Código de Prática de Segurança da Informação (ISO / IEC 27002) é uma descrição de um método de análise de risco. Esta declaração é correta? A. Sim. B. Não. QUESTION 40 O Código de Prática de Segurança da Informação (ISO / IEC 27002) só se aplica às grandes empresas. Esta declaração é correta? A. Sim. B. Não. Exam E QUESTION 1 O que significa o termo botnet? A. Uma rede de computadores infectados. B. Um site falso para enganar usuários. C. Um tipo de trojan. D. Um software antivírus QUESTION 2 De que forma podemos MELHOR descrever uma infraestrutura de chave pública? A. Um conjunto de hardware, software, pessoas, políticas e procedimentos necessários para criar, gerenciar, armazenar e revogar certificados digitais. B. Uma chave de criptografia pública. C. Um certificado digital emitido por uma entidade independente D. Uma chave secreta de domínio público QUESTION 3 Qual estratégia de risco se refere a medidas para evitar uma ameaça de forma que ela não gere um incidente de segurança? A. Evitar o risco. B. Aceitar o risco. C. Neutralizar o risco. D. Mitigar o risco. QUESTION 4 Qual estratégia de risco se refere a medidas tomadas para que uma ameaça não se manifeste, ou, se manifestar-se, o dano resultante seja mínimo? A. Evitar o risco. B. Aceitar o risco. C. Neutralizar o risco. D. Detectar o risco. QUESTION 5 Como podemos MELHOR descrever um risco de segurança? A. Algo com possibilidade de danificar ou levar à perda de informação. B. Um problema que se materializou e levou à perda de informações. C. Um incidente de segurança da informação relacionado à vulnerabilidades no sistema. D. Roubo de bens físicos. QUESTION 6 Qual o nome dado ao programa de computador que coleta informações de um computador de usuário e as envia para um terceiro com a intenção de obter informações? A. Spyware. B. Spam. C. Botnet. D. Worms. QUESTION 7 Qual o nome dado ao conjunto de ferramentas de software que são usadas frequentemente por hackers para obter acesso a um sistema de computador? A. Rootkit. B. Botnet. C. Pishing. D. Spyware. QUESTION 8 Em qual estratégia certos riscos são aceitos porque os custos das medidas de segurança excedemos possíveis danos e os riscos não são relevantes para a organização? A. Evitar o risco. B. Aceitar o risco. C. Neutralizar o risco. D. Eliminar o risco. QUESTION 9 Qual a diferença essencial entre dados e informação? A. Dados isolados podem não ter significado; informação é um conjunto de dados que tem significado. B. Informação isolada pode não ter significado; dados são um conjunto de informações que tem significado QUESTION 10 Quem determina o valor da informação? A. O destinatário que irá receber/usar a informação. B. O autor que produziu a informação. C. O sistema de gestão da segurança da informação (SGSI). D. O sistema de processamento de informações. QUESTION 11 Para proteger o valor da informação, quais são os três fatores que precisam ser observados? A. Continuidade, integridade e disponibilidade. B. Confidencialidade, integridade e disponibilidade. C. Garantia, segurança e disponibilidade. D. Suporte, segurança e disponibilidade. QUESTION 12 Características como continuidade, robustez e disponível quando necessária referem-se ao fator: A. Disponibilidade. B. Garantia. C. Integridade. D. Confidencialidade. QUESTION 13 Os processos operacionais da empresa podem ser dependentes de informações disponíveis nos sistemas de TI. Qual das seguintes medidas pode ser aplicada para aumentar a disponibilidade da informação? A. Realizar backups dos bancos de dados com frequência, pois eles podem ser necessários caso seja necessário uma recuperação de dados após um incidente. B. Criar a segregação de funções para determinar quem pode acessar determinadas informações nos sistemas. C. Não disponibilizar as informações em sites na internet. D. Instalar controles de acesso à informação para evitar acessos indevidos. QUESTION 14 Qual das opções abaixo MELHOR descreve o termo confidencialidade da informação? A. É o grau em que as informações são atualizadas e sem erros. B. É o grau em que a informação está disponível para o usuário e para o sistema de informação que se encontra em funcionamento o momento em que a organização precisa. C. É o grau em que o acesso a informação está restrito a um grupo de definido de pessoas autorizadas para terem esse acesso. D. É o nível de privacidade da informação. QUESTION 15 Antes da organização começar a implementar medidas de segurança, ela precisa saber em relação ao que ela deve se proteger. Para ajudar nisso, uma metodologia que englobe a identificação de riscos deve ser aplicada. Qual é o nome desta metodologia? A. Análise de riscos. B. Gerenciamento de Incidentes. C. Mapeamento de processos. D. Gerenciamento de processos. QUESTION 16 Quando uma ameaça se manifesta, por exemplo, um hacker consegue invadir a rede da empresa, este evento é chamado de: A. Problema. B. Incidente de segurança da informação. C. Falha de segurança. D. Erro de segurança. QUESTION 17 Um incidente de grande porte que ameaça a continuidade da empresa, como por exemplo falta de energia devido a um acidente na rede de transmissão, pode ser chamado de: A. Falha de continuidade. B. Problema. C. Indisponibilidade. D. Desastre. QUESTION 18 Qual é o nome do processo CONTÍNUO no qual riscos são identificados, examinados e reduzidos a um nível aceitável? A. Análise de riscos. B. Gerenciamento de riscos. C. Gerenciamento de incidentes. D. Gerenciamento da continuidade. QUESTION 19 A análise de riscos é uma ferramenta usada no gerenciamento de riscos. O propósito de realizar a análise de riscos é esclarecer quais ameaças são relevantes para os processos operacionais da empresa e então identificar riscos associados. O nível de segurança adequado, juntamente com as medidas de segurança associadas, podem então ser determinados. Qual dos seguintes NÃO é um objetivo da análise de riscos? A. Identificar os ativos de informação e seu valor. B. Determinar as vulnerabilidades e ameaças. C. Determinar o risco de que as ameaças se tornarão uma realidade e comprometerão o processo operacional da empresa. D. Resolver incidentes de segurança que ocorrem. QUESTION 20 Existem dois grupos de análises de riscos: quantitativa e qualitativa. Qual o foco da análise quantitativa de riscos? A. Calcular, com base no impacto do risco, o nível de perda financeira e a probabilidade que uma ameça possa se tornar um incidente de segurança. B. Com base em cenários e situações, avaliar subjetivamente chances de uma ameaça se tornar real. C. Determinar probabilidade e impacto consultando consultores experientes no setor. D. Contabilizar a quantidade de riscos que poderiam ocorrer devido à manifestação de uma ameaça. QUESTION 21 A aplicação de uma visão subjetiva das possiveis ameaças para determinar a probabilidade de ocorrência de um risco é chamada de: A. Análise qualitativa de riscos. B. Análise quantitativa de riscos. C. Análise subjetiva de riscos. D. Análise de probabilidade de riscos. QUESTION 22 A análise de riscos produz uma lista de ameaças e suas importâncias relativas. O próximo passo é analisar cada ameaça séria para descobir uma ou mais medidas que possam reduzir a ameaça. A organização tem como objetivo tornar algumas ameaças impossíveis ou quase impossíveis de ocorrer. Em que tipo de medida ela deve focar para alcançar este objetivo? A. Medidas preventivas B. Medidas detectivas C. Medidas repressivas D. Medidas corretivas QUESTION 23 Para eventos de riscos que não podem ser completamente prevenidos e para os quais as consequências não são aceitáveis para a organização, é possível adotar métodos que podem aliviar e minimizar as consequências. Esta prática também é conhecida como: A. Mitigação de riscos B. Transfência de riscos C. Prevenção de riscos D. Nenhuma das anteriores QUESTION 24 Quando todas as medidas são conhecidas, pode muito bem ser decidido não implementar as medidas de segurança devido aos custos não serem proporcionais aos benefícios e os riscos não serem relevantes para a organização. Neste caso, a organização pode: A. Aceitar (ou suportar) o risco e implementar soluções de contorno quando os riscos se materializarem. B. Contratar um seguro. C. Evitar o risco. D. Eliminar o risco. QUESTION 25 Um funcionário que não recebeu a promoção desejada resolveu vender dados confidenciais para uma empresa concorrente. Este é um tipo de ameaça: A. Humana intencional. B. Humana não intencional. C. Não humana. D. Funcional. QUESTION 26 Influências externas como raios, enchentes e tempestades são exemplos de: A. Ameaças humanas intencionais. B. Ameaças humanas não intencionais. C. Ameaças não humanas. D. Ameaças naturais. QUESTION 27 Qual é a norma conhecida como “código para segurança da informação”, que contém orientações para medidas em diversas áreas da segurança da informação? A. ISO/IEC 27002 B. ISO/IEC 20000 C. BS 25999 D. ISO/IEC 27001 QUESTION 28 Quem é o proprietário dos ativos de negócios? A. A pessoa responsável por um processo de negócio, subprocesso ou atividade de negócio e que cuida de todos os aspectos do ativo de negócio incluindo segurança, gerenciamento, produção e desenvolvimento. B. Sempre a gerência sênior. C. Sempre o pessoal de TI. D. O departamento de compras. QUESTION 29 O uso de ativos de negócio é assunto que está sujeito a certas regras. Estas regras podem ser fornecidas em um manual e podem, por exemplo, incluir instruções sobre como usar equipamentos móveis quando fora da organização. A implementação de tais regras faz parte do escopo de: A. Medidas organizacionais. B. Medidas técnicas. C. Medidas físicas. D. Medidas externas. QUESTION 30 Se o funcionário da helpdesk não está habilitado a lidar com um incidente devido à falta de conhecimento técnico, este incidente pode ser repassado para outro funcionário com mais experiência para resolver a questão. Isto é chamado de: A. Escalação funcional B. Escalação hierárquica QUESTION 31 Algumas vezes um incidente precisa ser reportado para alguém como mais autoridade funcional que precisará tomar decisões e alocarmais recursos na resolução. Isto é chamado de: A. Escalação funcional B. Escalação hierárquica QUESTION 32 Uma empresa não possui barreiras externas para dificultar o acesso de pessoas não autorizadas. Qual seria uma medida FÍSICA para evitar que informações ou outros ativos sejam roubados de dentro da empresa? A. Uso de vidros resistentes e portas reforçadas. B. Uso de senha nos pontos de acesso via wireless. C. Uso de criptografia nos e-mails enviados. D. Incluir no código de conduta que os funcionários não podem receber visitas não autorizadas. QUESTION 33 O uso de equipamentos biométricos para acesso a salas da empresa é um tipo de medida: A. Física. B. Técnica. C. Organizacional. D. Biológica. QUESTION 34 A fim de habilitar o uso de um sistema criptográfico, tanto o remetente como destinatário devem ter um algoritmo. Uma característica de um sistema criptográfico é que o algoritmo em si é público. De um modo geral, existem três formas de algoritmos de criptografia: simétrica, assimétrica e criptografia de mão única. Quando tanto o remetente como o destinatário compartilham a mesmo algoritmo e a mesma chave secreta, temos que tipo de criptografia? A. Simétrica B. Assimétrica C. Criptografia de mão única QUESTION 35 Qual é o ciclo usado como referência na ISO/IEC 27002 para determinar, implementar, monitorar e manter um Sistema de Gerenciamento da Segurança da Informação (SGSI)? A. Ciclo PDCA. B. Ciclo DMAIC. C. Ciclo do COBIT. D. Ciclo de Ishikawa. QUESTION 36 Sem uma segurança efetiva da informação, não é possível a uma organização sobreviver. Quem é responsável pela segurança da informação na organização? A. Apenas o pessoal de TI. B. Todo o pessoal da organização. C. Apenas auditores de segurança. D. O gerente de segurança da informação. QUESTION 37 Alguém está tentando ganhar a confiança de um funcionário fingindo ser um colega ou um fornecedor, mas está realmente tentando adquirir informações confidenciais da empresa. Este tipo de prática é conhecida como: A. Pirataria. B. Engenharia social. C. Malware. D. Má conduta. QUESTION 38 Um e-mail que tenta convencer o leitor de sua veracidade e o convence a realizar uma ação em particular é uma ação conhecida como: A. Hoax. B. Malware. C. Trojan. D. Spam. QUESTION 39 Um dos aspectos que a gerência deve incluir na política de segurança da informação é a maneira pela qual os recursos de TI podem ser usados dentro da organização. A utilização desses recursos para fins particulares ou qualquer finalidade não autorizada sem a permissão da gerência deve ser considerada como uso indevido das instalações. Como a gerência pode evitar isso de maneira adequada? A. Por meio de um código de conduta que esclareça os direitos e deveres do empregador e dos empregados. B. Instalando um filtro na firewall. C. Retirando o acesso à internet. D. Estabelecendo um regimento interno. QUESTION 40 Qual a finalidade PRIMÁRIA de se usar ar-condicionado na sala de servidores? A. É uma forma de proteger fisicamente os equipamentos, para que o superaquecimento não os danifique. B. É uma forma de melhorar o ambiente para o pessoal de TI trabalhar melhor. C. É uma exigência legal. D. É uma forma de garantir que os dados não fiquem danificados. Exam F QUESTION 1 Você é o administrador de redes do departamento de TI de uma empresa têxtil. Você observa que há vários funcionários utilizando a internet para navegar em blogs, revistas e sites de pornografia. Qual a MELHOR abordagem para regular o uso da internet na empresa? A. Instalar uma firewall para bloquear acesso a todos os sites externos, assim evitando que todos naveguem pela internet. B. Elaborar um código de conduta para uso da internet, no qual os funcionários saberão de que forma podem utilizar a internet e a quais tipos de conteúdos está permitido o acesso. C. Demitir os funcionários que forem flagrados usando a internet para uso particular. D. Instalar um software espião que detecta quais funcionários estão usando a internet de forma irregular e pedir para que o departamento de RH aplique medidas disciplinares a estes funcionários. QUESTION 2 Ao identificar os ativos de informação na organização, alguém precisa ser definido para ter a responsabilidade de gerenciamento, controle, produção, desenvolvimento, manutenção e uso de ativos de informação. Essa pessoa também é responsável pela classificação e proteção de documentos de informação. Qual é o nome atribuído a esse papel? A. Autor do documento. B. Gerente funcional. C. Gerente de TI. D. Proprietário ou dono do ativo de informação. QUESTION 3 Todas as opções abaixo são medidas técnicas de segurança de TI, EXCETO: A. Criptografia de dados. B. Validação de dados de entrada e saída nos sistemas. C. Limitação de acesso a determinados locais na rede via wireless. D. Elaboração de uma política de segurança para a organização. QUESTION 4 Qual das seguintes NÃO é uma medida de segurança organizacional? A. Estabelecer uma política de segurança da informação que esteja de acordo com requisitos do negócio, legislação e regulamentos a que a empresa precisa atender. B. Estabelecer um Sistema de Gerenciamento da Segurança da Informação (SGSI) que compreenda os domínios identificados no padrão ISO/IEC 27002. C. Segregar funções estabelecendo responsabilidades para cada um na organização. D. Implementar proteções contra incêndio, como extintores em cada sala de trabalho. QUESTION 5 Segurança física é parte da segurança da informação porque todos os ativos do negócio precisam estar fisicamente protegidos. Qual das opções abaixo pode ser considerada uma medida de segurança física para evitar que pessoas não autorizadas roubem informações de dentro da empresa? A. Instalação de equipamentos de controle de temperatura, como ar-condicionado, umidificadores, etc. B. Colocar os cabos de telefone afastados da rede elétrica para não haver interferência. C. Fazer com que os funcionários retornem todos os seus equipamentos quando se desligarem da empresa, a fim de proteger informações confidenciais. D. Uso de biometria para acessos a salas de servidores ou arquivos da empresa. QUESTION 6 Como parte de um Sistema de Gerenciamento da Segurança da Informação (SGSI), uma política de segurança precisa ser elaborada. Para que serve este documento? A. Para comunicar à organização a importância de se atender aos objetivos de segurança da informação e fornecer uma direção clara de como a segurança da empresa deve ser atendida. B. Para realizar a segregação de funções estabelecendo quem é responsável pelo quê. C. Para demonstrar como os softwares utilizados pelo negócio implementam medidas de técnicas de segurança. D. Para estabelecer um código de conduta para uso de serviços de TI. QUESTION 7 Na sua empresa está claro que os funcionários lidam com várias mídias de armazenamento, como smartphones, pen drives e CDs/DVDs. Qual medida ORGANIZACIONAL adequada deve ser implementada para reduzir os riscos de informações confidenciais pararem nas mãos de pessoas erradas? A. Proibir o uso destas mídias. B. Pedir que os funcionários não utilizem estas mídias fora da organização. C. Elaborar uma política para uso destas mídias conscientizando os funcionários sobre o manuseio delas, assim como a importância de garantir a confidencialidade das informações da organização. D. Comprar um software que criptografa todas as informações transferidas para estas mídias. QUESTION 8 Os funcionários da organização têm um papel importante na detecção de fraquezas na segurança e na notificação de incidentes de segurança. Se você percebe, por exemplo, que tem acesso às pastas de documentos que somente a diretoria deveria acessar, o que você deveria fazer? A. Nada. B. Copiar todos os arquivos para o seu PC antes que o acesso seja bloqueado. C. Notificar o incidente para a helpdesk de TI, assim o acesso será limitado somente a quem tem direito de acesso. D. Reportar o caso para outros funcionários da empresa. QUESTION 9 Os
Compartilhar