Para fazer um seguro contra incêndio, uma organização deve determinar o valor dos dados que
gerencia.
Qual fator não é importante para a determinação do valor dos dados de uma organização? A) A quantidade de armazenamento necessária para os dados
B) Até que grau os dados faltantes podem ser recuperados
C) A indispensabilidade dos dados para os processos de negócios
D) A importância dos processos que utilizam os dados
.
Além de integridade e confidencialidade, qual é o terceiro aspecto de confiabilidade da
informação? A) Autenticidade
B) Disponibilidade
C) Completitude
D) Valor
.
Uma empresa tem uma impressora ligada à rede na sua recepção. Muitos funcionários não
recuperam suas impressões imediatamente e as deixam na impressora.
Qual é a consequência disso para a confiabilidade da informação? A) A disponibilidade da informação já não é mais garantida.
B) A confidencialidade da informação já não é mais garantida.
C) A integridade da informação já não é mais garantida.
.
ma base de dados contém alguns milhões de transações de uma empresa telefônica. Uma fatura
foi gerada e enviada a um cliente.
Para esse cliente, o que contém essa fatura? A) Dados
B) Informação
C) Dados e informação
.
Qual é a melhor descrição do foco do gerenciamento da informação?
A) Permitir que as atividades e processos de negócios continuem sem interrupção
B) Assegurar que o valor da informação seja identificado e aproveitado
C) Evitar que pessoas não autorizadas tenham acesso a sistemas automatizados
D) Entender como a informação flui através de uma organização
.
Os patches de segurança mais recentes não foram instalados em um sistema de base de dados e
ele foi hackeado. Os hackers conseguiram acessar os dados e eliminá-los.
Que conceito de segurança da informação descreve a falta de patches de segurança? A) Impacto
B) Risco
C) Ameaça
D) Vulnerabilidade
.
Uma secretaria está determinando os perigos aos quais está exposta.
Como é chamado um possível evento que pode ter um efeito perturbador na confiabilidade da
informação? A) Uma dependência
B) Um risco
C) Uma ameaça
D) Uma vulnerabilidade
.
Qual é uma finalidade do gerenciamento de riscos?
A) Determinar a probabilidade de ocorrência de um dado risco
B) Dirigir e controlar uma organização em relação ao risco
C) Investigar os danos causados por eventuais incidentes de segurança
D) Descrever as ameaças às quais os ativos de TI estão expostos
.
Qual é uma ameaça humana?
A) Um vazamento que provoca uma falha no fornecimento de eletricidade
B) Um pendrive que transmite um vírus para a rede
C) Pó demais na sala dos servidores
.
Uma análise de risco bem realizada proporciona muita informação útil. Uma análise de risco tem
quatro objetivos principais.
O que não é um dos quatro objetivos principais da análise de risco? A) Determinar vulnerabilidades e ameaças relevantes
B) Definir um equilíbrio entre os custos de um incidente e os custos de uma medida
C) Identificar os ativos e seu valor
D) Implementar medidas e controles
.
Houve um incêndio em uma filial da seguradora Midwest Insurance. Os bombeiros chegaram
rapidamente ao local e puderam extinguir o fogo antes que se espalhasse e atingisse todas as
instalações da empresa. Entretanto, o incêndio destruiu o servidor. As fitas de backup (cópia de
segurança) que ficavam em outra sala derreteram e muitos documentos foram perdidos.
Que danos indiretos foram causados por esse incêndio? A) Sistemas de computadores queimados
B) Documentos queimados
C) Fitas de backup queimadas
D) Danos causados pela água
.
Um escritório está localizado em uma área industrial. Uma empresa próxima a esse escritório
trabalha com materiais inflamáveis.
Qual é a relação entre a ameaça de incêndio e o risco de incêndio? A) A ameaça de incêndio vem da empresa próxima ao escritório, o que representa um risco de incêndio
por trabalhar com materiais inflamáveis em uma área industrial vulnerável. B) A ameaça de incêndio vem dos materiais inflamáveis, o que representa um risco de incêndio para o
escritório caso esse escritório tiver a vulnerabilidade de não ser à prova de fogo. C) A ameaça de incêndio vem da probabilidade de o escritório sofrer danos, pois os materiais
inflamáveis representam um risco de incêndio. D) A ameaça de incêndio vem do escritório vulnerável em uma área industrial e que está localizado
próximo a uma empresa que representa um risco de incêndio. .
Houve um incêndio em uma filial de uma empresa de seguro saúde. Os funcionários foram
transferidos para filiais próximas para prosseguir seu trabalho.
No ciclo de um incidente, onde se localiza a mudança para um arranjo de continuidade? A) Entre as etapas de danos e de recuperação
B) Entre as etapas de incidente e de danos
C) Entre as etapas de recuperação e de ameaças
D) Entre as etapas de ameaças e de incidente
.
Como melhor se descreve a finalidade da política de segurança da informação?
A) Uma política de segurança da informação documenta a análise dos riscos e a busca de
contramedidas. B) Uma política de segurança da informação dá orientação e suporte à organização sobre segurança da
informação. C) Uma política de segurança da informação concretiza o plano de segurança ao supri-lo com os
detalhes necessários. D) Uma política de segurança da informação fornece uma visão sobre as ameaças e suas eventuais
consequências. .
Um funcionário de uma seguradora descobre que a data de validade de uma política foi alterada
sem seu conhecimento. Ele é a única pessoa autorizada a fazer essa alteração e notifica esse
incidente ao helpdesk. O funcionário do helpdesk registra as seguintes informações sobre o
incidente:
- data e hora
- descrição do incidente
- eventuais consequências do incidente
Que informação importante sobre o incidente não foi registrada? A) O nome da pessoa que notifica o incidente
B) O nome do pacote de software
C) Os nomes das pessoas que foram informadas
D) O número do computador
.
Juliana é proprietária de uma empresa de entrega expressa (courier). Ela emprega algumas
pessoas que, quando não estão fazendo entregas, podem executar outras tarefas. Entretanto,
observa que as pessoas aproveitam esse tempo para enviar e ler e-mails pessoais e navegar na
Internet.
Em termos legais, qual é a melhor maneira de regular o uso da Internet e do e-mail? A) Bloquear todos os websites
B) Elaborar um código de conduta
C) Implementar regulamentações de privacidade
D) Instalar um antivírus
.
Qual sistema garante a coerência da segurança da informação em uma organização?
A) Sistema de gestão de segurança da informação (SGSI)
B) Sistema de detecção de intrusos (IDS)
C) Rootkit
D) Regulamentações sobre segurança para informações especiais
.
Um incidente de segurança relacionado a um servidor de web é notificado a um funcionário do
helpdesk, que transfere o caso para uma colega por ela ter mais experiência com servidores de
web.
Que termo descreve essa transferência? A) Escalação funcional
B) Escalação hierárquica
C) Escalação de privilégios
.
Quem é responsável por converter a estratégia e os objetivos de negócio em estratégia e objetivos
de segurança? A) O diretor de segurança da informação (CISO)
B) A diretoria geral
C) O executivo de segurança da informação (ISO)
D) O executivo da política de segurança da informação
.
Em caso de incêndio, qual é uma medida repressiva?
A) Extinção do incêndio após sua detecção
B) Reparação dos danos causados pelo incêndio
C) Contratação de um seguro contra incêndio
.
Qual é o objetivo da classificação da informação?
A) Rotular a informação para torná-la mais fácil de ser reconhecida
B) Criar um manual sobre como lidar com os dispositivos móveis
C) Estruturar a informação de acordo com sua sensibilidade
.
Que ameaça pode acontecer como resultado da ausência de uma medida física?
A) Um documento confidencial ser deixado na impressora
B) Um servidor parar por superaquecimento
C) Um usuário conseguir ver arquivos pertencentes a um outro usuário
D) Hackers conseguirem entrar livremente na rede de computadores
.
Uma sala de informática é protegida por um leitor de cartão de acesso. Apenas o departamento de
gestão de sistemas tem o cartão de acesso.
Que tipo de medida de segurança é essa? A) Medida corretiva de segurança
B) Medida física de segurança
C) Medida lógica de segurança
D) Medida repressiva de segurança
.
Os backups (cópias de segurança) de um servidor central são mantidos na mesma sala trancada
que o servidor.
Qual é o risco mais provável que a organização pode enfrentar? A) Se o servidor falhar, levará muito tempo para ficar operacional de novo.
B) Em caso de incêndio, é impossível reverter o sistema para seu estado anterior.
C) Ninguém é responsável por esses backups.
D) Pessoas não autorizadas têm fácil acesso aos backups.
.
Como se chama "determinar se a identidade de alguém é correta"?
A) Autenticação
B) Autorização
C) Identificação
.
Que tipo de segurança uma infraestrutura de chave pública (ICP) oferece?
A) Uma ICP verifica qual pessoa ou sistema pertence a uma chave chave pública específica.
B) Uma ICP assegura que os backups (cópias de segurança) dos dados da empresa sejam feitos
periodicamente. C) Uma ICP mostra aos clientes que um negócio baseado na web é seguro.
.
No departamento de TI de uma empresa de médio porte, informações confidenciais caíram em
mãos erradas diversas vezes, o que prejudicou a imagem da empresa. Consequentemente, a
empresa está à procura de medidas organizacionais de segurança para proteger seus laptops.
Qual é a primeira ação a ser tomada? A) Nomear mais profissionais de segurança da informação
B) Criptografar os dispositivos de armazenamento e os discos rígido dos laptops
C) Elaborar uma política para os dispositivos móveis
D) Estabelecer uma política de controle de acesso
.
Qual é a razão mais importante para se pôr em prática a segregação de funções?
A) Criar uma responsabilidade conjunta de todos os funcionários pelos erros cometidos
B) Assegurar que os funcionários façam o mesmo trabalho ao mesmo tempo
C) Tornar claro quem é responsável por quais tarefas e atividades
D) Minimizar o uso indevido dos ativos da empresa ou a possibilidade de alterações não autorizadas ou
involuntárias .
Qual medida é uma medida preventiva?
A) Instalar um sistema de registro que permite que as mudanças em um sistema sejam reconhecidas
B) Guardar todas as informações sensíveis em um cofre após o horário de trabalho
C) Interromper todo o tráfego da Internet depois de um hacker acessar os sistemas da empresa
.
Que tipo de malware cria uma rede de computadores contaminados?
A) Bomba lógica
B) Spyware
C) Worm
D) Trojan
.
Em uma organização, o executivo de segurança da informação descobre que o computador de um
funcionário está infectado com um malware, instalado devido a um ataque phishing dirigido.
Que ação é a mais benéfica para evitar esse tipo de incidente no futuro? A) Implementar tecnologia de controle de acesso obrigatório (mandatory access control - MAC)
B) Dar início a um programa de conscientização sobre segurança
C) Atualizar as regras do firewall
D) Atualizar as assinaturas do filtro de spam
.
Qual é a finalidade de um plano de recuperação de desastre (PRD)?
A) Identificar a vulnerabilidade subjacente a um desastre
B) Minimizar as consequências em caso de desastre
C) Reduzir a probabilidade de ocorrência de um desastre
D) Voltar a situação ao estado em que se encontrava antes do desastre
.
Na segurança física, podem ser instalados múltiplos anéis de proteção, nos quais diferentes
medidas podem ser tomadas.
O que não é um anel de proteção? A) Anel do prédio
B) Anel intermediário
C) Anel de objeto
D) Anel externo
.
Medidas tomadas para proteger um sistema de informação de ataques.
A que corresponde essa definição? A) Análise de risco
B) Gerenciamento de riscos
C) Controles de segurança
.
Qual é uma característica de uma medida de segurança?
A) Descrever um processo para manejar incidentes
B) Expor uma organização a eventuais danos
C) Ser posta em prática para mitigar um risco potencial
D) Mostrar o efeito da incerteza nos objetivos
.
Um datacenter usa um fornecedor ininterrupto de energia (uninterruptible power supply - UPS),
mas não tem gerador de energia.
Qual é o risco que essa situação representa para a disponibilidade do datacenter? A) A energia principal pode não voltar automaticamente quando a energia for restabelecida, pois é
preciso um gerador de energia para isso. B) O corte de energia principal pode durar mais do que alguns minutos ou algumas horas, o que causará
falta de energia. C) O UPS pode ficar sem diesel e parar de funcionar depois de alguns dias, então sua vida útil é limitada.
D) O UPS deve ser alimentado pelo gerador de energia após algumas horas, então só fornece proteção
limitada. .
Em que condições um empregador tem permissão de verificar se a Internet e os serviços de e-mail
no ambiente de trabalho estão sendo usados para fins pessoais? A) Se houver também um firewall instalado
B) Se o funcionário for informado após cada verificação
C) Se o funcionário estiver ciente que isso pode acontecer
.
Que padrão ou regulamentação também é conhecido como o "código de prática para a gestão da
segurança da informação"? A) ISO/IEC 27001
B) ISO/IEC 27002
C) Conformidade da Indústria de Cartões de Pagamento (PCI)
D) Sarbanes-Oxley Act
.
legislação e as regulamentações são importantes para a confiabilidade da informação em uma
organização.
Qual é o primeiro passo que uma organização deve dar para se tornar conforme? A) Realizar uma análise de risco para descobrir quais legislações e regulamentações são aplicáveis
B) Criar uma política de uso aceitável para conscientizar os funcionários sobre o que devem fazer
C) Planejar as auditorias de conformidade com antecedência de acordo com o ciclo PDCA
D) Elaborar uma política que mostre que leis e regulamentações locais devem ser seguidas
.
Que legislação pode ter um impacto nos requisitos de segurança da informação para todas as
empresas que lidam com residentes da União Europeia (UE)? A) Convenção Europeia dos Direitos do Homem (CEDH)
B) ISO/IEC 27001
C) Quadro de Segurança Cibernética do NIST (NIST Cybersecurity Framework)
D) Padrão de Segurança de Dados da Indústria de Cartão de Pagamento (PCI-DSS)
.
|
