PROVA UNIDADE 2 GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

· Pergunta 1
1 em 1 pontos
	
	
	
	O Comitê Corporativo de Segurança da Informação é essencial para que uma Organização obtenha sucesso nas áreas de governança, conformidade e gestão de riscos. Além disso, deve ter uma posição privilegiada no organograma da empresa para que tenha poder de decisão quando necessário.
 
Assinale a alternativa correta que apresenta quais os setores/departamentos internos de uma Organização que devem fazer parte deste comitê:
	
	
	
	
		Resposta Selecionada:
	 
Todas as áreas de uma Organização
	Resposta Correta:
	 
Todas as áreas de uma Organização
	Comentário da resposta:
	Resposta está correta. A alternativa está correta, pois o Comitê Gestor de Segurança da Informação deve ser composto, além de membros da alta direção, pelos gestores de todas as áreas da empresa, que utilizam ou não informações em formato digital,  a fim de fortalecer o processo de gestão.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	A ISO 27001, norma para implementação de um SGSI - Sistema de Gestão de Segurança da Informação, propõem um método voltado à segurança da informação em ciclos, chamado PDCA: Plan - planejamento, Do - implementação, Check - análise, Act - Monitoramento.
 
ABNT- ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos. Rio de Janeiro, 2005.
 
Em relação a estes quatro ciclos, assinale a alternativa correta em relação ao ciclo de implementação (Do).
	
	
	
	
		Resposta Selecionada:
	 
Esta é a fase de aplicação dos mecanismos de controle (medidas de segurança) sugeridas após a análise de riscos
	Resposta Correta:
	 
Esta é a fase de aplicação dos mecanismos de controle (medidas de segurança) sugeridas após a análise de riscos
	Comentário da resposta:
	Resposta está correta. A alternativa está correta, pois é no ciclo de implementação (Do) que são aplicados os mecanismos de controle, ou medidas de segurança, que são sugeridos após a realização da análise de riscos. Em geral, estas medidas visam diminuir o grau de vulnerabilidade dos ativos de informação, impactando positivamente no risco avaliado.
	
	
	
· Pergunta 3
1 em 1 pontos
	
	
	
	Um firewall, seja corporativo ou não, pode controlar tanto as conexões de entrada quanto as conexões de saída de uma estação de trabalho na rede, independente do seu sistema operacional. O mesmo também é verdadeiro para os servidores. Além disso, há os firewalls  baseados em software e os que que são baseados em hardware.
Sendo assim, o firewall pode ser considerado um ativo de informação de qual tipo? Assinale a alternativa correta:
	
	
	
	
		Resposta Selecionada:
	 
Ativo de tecnologia
	Resposta Correta:
	 
Ativo de tecnologia
	Comentário da resposta:
	Resposta está correta. A alternativa está correta, pois um firewall, independente se baseado em software ou hardware, se pessoal ou corporativo, é um software que opera sobre um sistema operacional, que por sua vez deve ser sustentado por um equipamento físico, mesmo que seja uma máquina virtual. Então o firewall é considerado um ativo do tipo tecnologia. Ele pode realmente controlar as conexões de entrada e saída de rede em uma estação de trabalho, contudo, é incapaz de detectar a existência de um vírus de computador uma vez que esta é função de um software antivírus.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	Um Sistema de Gestão de Segurança da Informação deve ser avaliado, corrigido e aperfeiçoado sempre que necessário. Pessoas que realizam trabalho sob o controle da Organização executam suas tarefas de acordo com a Política de Segurança da Informação (PSI) da Organização.
 
Sobre o não cumprimento desta PSI por parte destas pessoas e suas possíveis penalidades, assinale a alternativa correta:
	
	
	
	
		Resposta Selecionada:
	 
as penalidades impostas devem ser internas e não podem se sobrepor à leis superiores, como as municipais, estaduais e federais
	Resposta Correta:
	 
as penalidades impostas devem ser internas e não podem se sobrepor à leis superiores, como as municipais, estaduais e federais
	Comentário da resposta:
	Resposta está correta. A alternativa está correta, pois  penalidades como suspensão ou até demissão podem ser executadas em caso de descumprimento da PSI por parte de um colaborador. Contudo, leis superiores, como a lei trabalhista, por exemplo, não podem ser superadas por normatizações internas da Organização.
	
	
	
· Pergunta 5
1 em 1 pontos
	
	
	
	A Lei Geral de Proteção de Dados (LGPD) exige que as empresas tenham um profissional responsável pela proteção de dados pessoais e o definiu como Encarregado. O Encarregado pode ser uma pessoa física, funcionário da empresa, como o Oficial de Segurança, por exemplo, ou uma pessoa jurídica.
 
BRASIL, Lei nº 13.853, de 8 de julho de 2019- Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados. Diário      Oficial da união. Disponível em: < http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1>. Acesso em: 27 Jan. 2020.
 
Assinale a alternativa correta que apresenta quais as atribuições do Encarregado definidas na LGPD:
 
	
	
	
	
		Resposta Selecionada:
	 
Atuar como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)
	Resposta Correta:
	 
Atuar como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)
	Comentário da resposta:
	Resposta está correta. A alternativa está correta, pois em seu artigo 5, a Lei define: "VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)." Portanto, o Oficial de Segurança pode exercer a função de Encarregado também.
BRASIL, Lei nº 13.853, de 8 de julho de 2019- Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados. Diário      Oficial da união. Disponível em: < http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1>. Acesso em: 27 Jan. 2020.
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	O acesso público à sala de servidores de uma determinada empresa pode gerar problemas de disponibilidade, uma vez que qualquer pessoa, intencionalmente ou não, pode desligar manualmente a energia de algum equipamento. Dependendendo da relevância do ativo de tecnologia envolvido, esta falha pode levar à parada de um determinado processo, causando prejuízos para a empresa.
 
Para evitar este tipo de falha, assinale a alternativa correta que representa a técnica de segurança correta para a segurança do perímetro.
	
	
	
	
		Resposta Selecionada:
	 
Controle de Acesso Físico
	Resposta Correta:
	 
Controle de Acesso Físico
	Comentário da resposta:
	Resposta está correta. A alternativa está correta, pois o controle de acesso físico pode impedir, ou pelo menos dificultar, o acesso indevido de pessoas não autorizadas ao ambiente, evitando este tipo de falha de disponibilidade. Além de controles de acesso, um ambiente também deve ser protegido contra desastres naturais, como desabamentos, enchentes, incêndios, etc.
	
	
	
· Pergunta 7
1 em 1 pontos
	
	
	
	A Lei Geral de Proteção de Dados (LGPD) deve entrar em vigor em agosto de 2020 e visa a proteção de dados pessoais. Será um novo desafio para as empresas brasileiras, uma vez que muitas ainda não se preocupam a privacidade dos dados dos seus usuários ou clientes.
 
A respeito da LGPD e analise as afirmativas a seguir e assinale V para a(s) verdadeiras e F para a(s) falsas:
 
I. ( ) Dados pessoais são todos os dados que levam a identificação de uma pessoa, como CPF, RG, endereço físico ou eletrônico, por exemplo
II. ( ) Esta lei abrange apenas para empresas privadas e não as públicas
III. ( ) Dados sensíveissão aqueles que detém informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, de saúde ou vida sexual
IV ( ) Empresas de saúde privadas, como hospitais e planos de saúde, estão excluídos da LGPD
V. ( ) A Lei não se limita apenas a proteção de dados pessoais de clientes, mas também de funcionários da empresas
 
Assinale a alternativa que apresenta a sequência correta:
	
	
	
	
		Resposta Selecionada:
	 
V, F, V, F, V
 
 
	Resposta Correta:
	 
V, F, V, F, V
 
 
	Comentário da resposta:
	Resposta está correta. A alternativa está correta, pois todas as empresas que processam dados pessoais, sejam públicas ou privadas, independente do seu tamanho ou área de atuação, deverão se adequar à nova lei de proteção de dados. O mesmo vale para consultórios, clínicas, laboratórios, hospitais, ou seja, todas as áreas de saúde. Além de dados pessoais, como RG e CPF, por exemplo, a lei protege os dados pessoais sensíveis, como  origem racial ou étnica, convicções religiosas, opiniões políticas, de saúde ou vida sexual.
	
	
	
· Pergunta 8
1 em 1 pontos
	
	
	
	A Lei Geral de Proteção de Dados (LGPD) criou duas definições para as empresas que processam dados pessoais, o controlador e o operador:
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
 
Quando houver um vazamento de dados no Operador e o Controlador tiver parcela de responsabilidade neste incidente de segurança, assinale a alternativa correta que apresenta quem deverá ser responsabilizado para reparar os danos causados aos titulares dos dados:
	
	
	
	
		Resposta Selecionada:
	 
Operador e Controlador
	Resposta Correta:
	 
Operador e Controlador
	Comentário da resposta:
	Resposta está correta. A alternativa está correta, pois ambos, Controlador e Operador, serão responsáveis por reparar os danos causados aos titulares do dados. Conforme menciona o artigo 42 da LGPD, os controladores que estiverem envolvidos em tratamentos em que ocorreram danos ao titular dos dados irão responder solidariamente.
	
	
	
· Pergunta 9
0 em 1 pontos
	
	
	
	O Oficial de Segurança é a figura central do Comitê Corporativo de Segurança da Informação, sendo o principal executivo da empresa nesta área. A exigência para este cargo requer muitas tarefas e desafio, ultrapassando o requerimento de apenas conhecimento tecnológicos.
 
A respeito dos desafios e tarefas de um Oficial de Dados, analise as afirmativas a seguir e assinale V para a(s) verdadeiras e F para a(s) falsas:
 
I. (  ) Entender dos negócios da empresa
II. (  ) Entender o segmento de mercado ao qual a empresa está inserida
III. (  ) Adequar o planejamento de segurança ao orçamento disponibilizado
IV. (  ) Deter técnicas de administração de redes Windows ou Linux
V. ( ) Manter a empresa segura, em conformidade com as normas de segurança e consequentemente com maior valor agregado
 
Assinale a alternativa que apresenta a sequência correta:
	
	
	
	
		Resposta Selecionada:
	 
F, F, V, V, V
	Resposta Correta:
	 
V, V, V, F, V
	Comentário da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois não é obrigação do Oficial de Segurança deter técnicas específicas de administração de tecnologias, como redes ou sistemas operacionais, por exemplo. Contudo,  se as tiver, melhor. O Oficial de Segurança deve procurar manter a empresa segura, em conformidade, visando um maior valor agregado e um diferencial no mercado.
 
	
	
	
· Pergunta 10
1 em 1 pontos
	
	
	
	A ISO 27000 descreve a visão geral e o vocabulário de um sistema de Gestão de Segurança da Informação (SGSI), sendo referência em relação aos termos e definições utilizados para toda sua família, como a ISO 27001, 27002 e 27005, por exemplo, assim como ocorre com outras normas, como a ISO 9000.
 
Em relação à ISO 27001, 27002 e 27005, analise as afirmativas a seguir e assinale V para a(s) verdadeiras e F para a(s) falsas:
 
I. ( ) A ISO 27001 trata da implementação de um Sistema de Gestão de Segurança da Informação (SGSI)
II. ( ) A ISO 27002 é uma referência para seleção de controles para implementação de um SGSI
III. ( ) A ISO 27005 é voltada para definição de diretrizes aplicadas a Gestão de Riscos da Segurança da Informação
IV. ( ) A ISO 27002 trata da implementação de um Sistema de Gestão de Segurança da Informação (SGSI)
V. ( ) A ISO 27001 é uma referência para seleção de controles para implementação de um SGSI
 
Assinale a alternativa que apresenta a sequência correta:
 
	
	
	
	
		Resposta Selecionada:
	 
V, V, V, F, F
	Resposta Correta:
	 
V, V, V, F, F
	Comentário da resposta:
	Resposta está correta. A alternativa está correta, pois a norma ISO 27001 trata da implementação de um SGSI que preserve a confidencialidade, integridade e disponibilidade da informação. A ISO 27002 é utilizada como uma referência na seleção de controles dentro do SGSI e a 27005 aborda com mais profundidade a análise de riscos na área da segurança da informação.